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Editorial 


„Der Datenschutz ist zwar kein Supergrundrecht, aber eines, das viele andere Grundrechte erst ermög- 
licht.” So formulierte es Herr Kelber, BfDI, im letzten Jahr auf einer Datenschutzveranstaltung. 


Dieser Satz kann als Replik auf die immer wieder vorgetragene Mahnung speziell aus dem Innenministe- 
rium verstanden werden (und war wohl auch so gemeint), wonach der Datenschutz kein „Supergrund- 
recht” seiund somit den ständig erweiterten Befugnissen der Sicherheitsbehörden nicht im Wege stehen 
darf. Der Punkt ist nur: Von Seiten des Datenschutzes wurde das auch gar nicht behauptet. Trotzdem wird 
diese Nicht-Aussage immer wieder gern dazu genutzt die Befugnisse der Sicherheits-/Überwachungs- 
dienste kontinuierlich auszuweiten und zwar derart, dass der Datenschutz dabei oft unberücksichtigt 
bleibt. Ihm kommt dann nur noch eine Feigenblattfunktion zu. 


Die Aussage von Herrn Kelber regte die DANA-Redaktion an, das Thema „Datenschutz und andere Grund- 
rechte“ zum Schwerpunktthema dieses Heftes zu machen. 


Entsprechend haben wir beim BfDI nachgefragt, ob er einen Artikel zu dieser Ausgabe beisteuern und so sei- 
ne Gedanken aus dem letzten Jahr noch konkretisieren könnte. Er hat sofort zugestimmt. Das Heft beginnen 
wir folgerichtig mit dem Artikel des BfDI über „Datenschutz als Garant und Ermöglicher von Grundrechten“. 


Es folgt ein Artikel von Thilo Weichert mit dem Titel „Digitale Grundrechte im internationalen Kontext“, 
der das Thema aus Sicht der deutschen, der europäischen und der internationalen (UN-) Grundrechte 
ausführlich betrachtet und dabei speziell die Digitalisierung hervorhebt, die bei der Formulierung der 
Grundrechte zum großen Teil noch nicht berücksichtigt wurde - weil sie damals noch gar nicht berück- 
sichtigt werden konnte. 


Achim Klabunde beschreibt das Thema als Mitarbeiter a. D. des Europäischen Datenschutzbeauftragten in 
einen Artikel aus EU-Sicht, wobei er speziell die historische Entwicklung der EU-Grundrechte darstellt. Frau 
Leutheusser-Schnarrenberger, Bundes-Justizministerin a. D., erläutert die Entwicklung des Datenschutzes 
in Deutschland und sieht das Volkszählungsurteil des BVerfG von 1983 als „Zeitenwende“. Steffen Pau er- 
gänzt als Leiter der Datenschutzaufsicht für die nordrhein-westfälischen (Erz-)Diözesen, des Verbandes der 
Diözesen Deutschlands und Leiter des Katholischen Datenschutzzentrums (KdöR) mit einem Beitrag zum 
Thema: „Das kirchliche Datenschutzrecht”. Es folgen zwei Artikel über Smart Cities. Der erste von Heinz 
Alenfelder über „Die Entwicklung einer Smart City - Im Fokus: Bürgerbeteiligung“ und der zweite von Astrid 
Donaubauer-Grobner über „Smart Cities und Datenschutz”. Ein Artikel von Frau Yu Du (Partnerin MMLC 
Group Lawyers & Consultants) mit dem Titel: „China’s First Face Recognition Case Study“, den wir im eng- 
lischen Original (sowie in einer durch uns - unterstützt durch deepl.com - erstellten deutschen Überset- 
zung) wiedergeben, schließt das Schwerpunktthema ab. 


Wie immer gibt es auch in diesem Heft weitere Beiträge, die nicht explizit zum Schwerpunktthema ge- 
schrieben wurden, die aber auf den zweiten Blick trotzdem dazu passen: 


Riko Pieper hat in seiner Eigenschaft als Sprecher des Arbeitskreises Kryptografie (AK-Krypto) des Berufsver- 
bands der Datenschutzbeauftragten Deutschlands (BvD) e.V. einen Artikel über Impfzertifikate im BvD-Blog 
veröffentlicht, den wir gerne auch in diesem Heft abdrucken. Ein relativ neues Thema ist der „Matrixcode”, den 
man seit kurzer Zeit auf Briefmarken sehen kann. Heinz Alenfelder hat dazu recherchiert und zusammenge- 
tragen, welche Daten dabei von wem verarbeitet werden und wer welche dieser Informationen abrufen kann. 


Danach sind noch ein „Offener Brief anlässlich der Frühjahrskonferenz der Innenminister und -senato- 
ren” gegen die Vorratsdatenspeicherung, der von der DVD mitunterzeichnet wurde, sowie eine aktuel- 
le Presseerklärung der DVD zur Plattform „handelsregister.de“ abgedruckt und es folgen die aktuellen 
Nachrichten, Urteile und Buchbesprechungen. Dabei fällt auf, dass die Nachrichten, die wie immer un- 
abhängig vom Schwerpunktthema zusammengestellt wurden, erstaunlich oft neben dem Datenschutz 
auch eines der Grundrechte bzw. eine mögliche Beeinträchtigung eben dieser thematisieren. Oder, um es 
mit den Worten eines ehemaligen deutschen Innenministers zusammenzufassen: Einige der Beiträge in 
diesem Heft könnten Sie beunruhigen. 


Viel Spaß beim Lesen wünscht die DANA-Redaktion. 
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Datenschutz als Garant und Ermöglicher von 


Grundrechten 


Die Liste der Dinge, von denen be- 
hauptet wird, dass der Datenschutz sie 
verhindere, istlang: Mal ist er dafür ver- 
antwortlich, dass während der Corona- 
Pandemie keine effiziente Kontaktnach- 
verfolgung per App stattfinden oder 
kein Impfregister eingerichtet werden 
kann, dann soll er die effektive Arbeit 
der Sicherheitsbehörden behindern und 
Täter schützen und ganz generell behin- 
dere er die Digitalisierung und den Fort- 
schritt in Deutschland. Die sachliche 
und fachliche Wahrheit steht dabei aber 
aufeinem ganz anderen Blatt. Unser Da- 
tenschutz ist europäisch. Dass Deutsch- 
lands Probleme mit der Digitalisierung 
also gerade aufihn zurückzuführen sein 
sollen, ist verwunderlich, da der Groß- 
teil unserer europäischen Partner diese 
Probleme nicht zu haben scheint. Dass 
die Rechtsprechung den Einsatz von 
Techniken und Instrumenten insbeson- 
dere deshalb für verfassungswidrig hält, 
weil der deutsche Gesetzgeber sie zu 
exzessiv ausgestaltet und zu pauschal 
einsetzt, wird nicht erwähnt. Und, dass 
der Datenschutz während der Corona- 
Pandemie keine Maßnahme verhindert 
hat, die deutsche Corona-App 45 Milli- 
onen Mal heruntergeladen wurde und 
Impfregister in Österreich, Schweden, 
Finnland und den Niederlanden exis- 
tieren, in denen dieselben datenschutz- 
rechtlichen Grundsätze gelten wie in 
Deutschland, bleibt unbeachtet. 

Selbst wenn sich viele Kritikpunkte 
am Datenschutz als offensichtlich unbe- 
gründet erweisen und man dazu neigt 
sie zu ignorieren, hat ein solches, von 
der Tatsachenlage entkoppeltes, Narra- 
tiv in Bezug auf den Datenschutz den- 
noch gesellschaftliche Konsequenzen. 
Es etabliert eine Grundeinstellung bei 
den Bürgerinnen und Bürgern, nämlich: 
Datenschutz sei ein großer Verhinderer. 
Gepaart mit fehlendem Wissen über die 
Macht der Daten und über die Analy- 
semöglichkeiten moderner Techniken 
in einer umfassend vernetzten Gesell- 
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schaft reduziert das die Wahrnehmung 
des Datenschutzes innerhalb der Gesell- 
schaft auf banale und oftmals negative 
Berührungspunkte, wie das Wegklicken 
eines nervigen Cookie-Banners vor ei- 
nem Webseitenbesuch. 

Tatsächlich ist Datenschutz aber ein 
Ermöglicher. Er erfüllt nicht nur eine ei- 
genständige Funktion bei der Wahrung 
der Privatheit und Selbstbestimmung 
der Bürgerinnen und Bürger, sondern 
schützt auch die Ausübung anderer 
Grundrechte und überführt sie von ei- 
ner analogen in eine digitale Gesell- 
schaft. Er hat damit eine Schlüssel- und 
Garantenfunktion zur Wahrung der Aus- 
übung aller anderen Grundrechte. Diese 
Rolle des Datenschutzes für die Grund- 
rechtsausübung sowie die demokrati- 
sche Gesellschaft verdient es deutlicher 
beleuchtet zu werden. 


Schutz vor „Chilling Effects” 


Die unterstützende, manchmal sogar 
dienende Funktion des Datenschutzes 
für die Ausübung anderer Grundrech- 
te des Grundgesetzes (GG) ist schon in 
seiner Geburtsstunde betont worden. 
Nicht umsonst argumentierte das Bun- 
desverfassungsgericht in seinem Volks- 
zählungsurteil, dass die Ausübung der 
eigenen Freiheitsrechte wesentlich da- 
von abhänge das Wissen des Gegenübers 
abschätzen zu können und nicht damit 
rechnen zu müssen, dass abweichendes 
Verhalten wahrgenommen, gespeichert 
und gegen einen verwendet werde. 
Denn, „/[wJer damit rechnet, daß etwa die 
Teilnahme an einer Versammlung oder ei- 
ner Bürgerinitiative behördlich registriert 
wird und daß ihm dadurch Risiken entste- 
hen können, wird möglicherweise auf eine 
Ausübung seiner entsprechenden Grund- 
rechte (Art. 8, 9 GG) verzichten.” 

Solche Auswirkungen auf die Unbe- 
fangenheit des Grundrechtsgebrauchs 
sind vom Verfassungsgericht in der Fol- 
ge in unterschiedlichen, auch nicht da- 


tenschutzrechtlichen Kontexten iden- 
tifiziert und als hemmende, einschüch- 
ternde oder abschreckende Wirkung 
bezeichnet worden. Dem Vorbild des 
Europäischen Gerichtshofs für Men- 
schenrechte (EGMR) folgend, hat sich 
für sie in der Wissenschaft der Begriff 
der „Chilling Effects“ etabliert. Auch, 
wenn selbst der EGMR den Begriff nicht 
vollständig einheitlich verwendet, be- 
zeichnen Chilling Effects in erster Linie 
den Versuch des Staates oder seiner 
Bevollmächtigten ein Klima der Selbst- 
zensur zu schaffen, unabhängig davon, 
ob das in Betracht gezogene Verhalten 
durch das Recht geschützt wird. Chil- 
ling Effects können sich im Kontext 
eines jeden Grundrechts auswirken. 
Gerade im Zusammenhang mit der Mei- 
nungs-, Presse- und Versammlungsfrei- 
heit kommt ihnen jedoch besondere 
Bedeutung zu. Eine der Hauptquellen 
von Chilling Effects stellen dabei staat- 
liche Überwachungsmaßnahmen dar, 
wie auch die Etablierung einer Überwa- 
chungsgesamtschau als Prüfungsmaß- 
stab des Bundesverfassungsgerichts 
für neue gesetzgeberische Maßnahmen 
im Sicherheitsrecht verdeutlicht. Zu- 
gleich wirken sich Einschüchterungsef- 
fekte damit aber auch gerade in einem 
Bereich aus, in dem ihnen durch die 
konsequente Anwendung des Grund- 
rechts auf informationelle Selbstbe- 
stimmung umfassend begegnet werden 
kann. Effektivem Datenschutz kommt 
so eine Funktion als Mittel gegen Chil- 
ling Effects zu, indem er ein Schutzni- 
veau gegen staatliche Kontrolle garan- 
tiert, das jeder einzelnen Person eine 
angstfreie und ungestörte Ausübung 
grundrechtlich geschützter Tätigkeiten 
ermöglicht. 

Kritiker wenden gegen dieses Ab- 
schreckungsargument oft ein, dass 
die Grundrechtsausübung in einer ge- 
festigten Demokratie wie der Deutsch- 
lands gewährleistet und angesichts 
einer etablierten rechtsstaatlichen 
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Ordnung auch zukünftig nicht gefähr- 
det sei. Es handle sich also um eine 
eingebildete und keine reale Gefahr. 
Doch belegen verschiedene aktuelle 
Beispiele, dass auch etablierte Demo- 
kratien sich autoritär entwickeln und 
gesellschaftliche Rollbacks vollziehen 
können. Zudem zeigt die Beschreibung 
der Chilling Effects doch gerade, dass 
es der tatsächlichen Errichtung eines 
undemokratischen Überwachungs- 
staates und rechtlich fixierter Konse- 
quenzen für eine Selbstbegrenzung der 
Bürgerinnen und Bürger bei der Grund- 
rechtsausübung gar nicht bedarf. Dies 
lässt sich auch anhand eines Beispiels 
zur Selbstreflektion gut nachvollzie- 
hen: Wie fühlt sich der Gedanke an, 
dass der Staat, zum Beispiel aus Grün- 
den des Jugendschutzes, Messenger- 
nachrichten anlasslos mitlesen kann? 
Würde man unter solchen Umständen 
gegenüber seinen engsten Freunden 
oder seiner Familie noch seine priva- 
testen Gedanken im Chat mitteilen? 
Selbst wenn man wüsste, dass ein Ein- 
greifen des Staates gesetzlich nur in 
den oben genannten Fällen möglich 
wäre, würde man erwarten, dass ersich 
an diese Begrenzung hält? Oder hat der 
Staat zu oft gezeigt, dass das Vorhan- 
densein von Informationen zu einem 
Zweck immer auch die Begehrlichkeit 
in Bezug auf ihre Verwendung in ande- 
ren Kontexten erzeugt? 

Für die meisten Menschen genügt 
der bloße Gedanke, dass kritisches 
oder abweichendes Verhalten wahr- 
genommen und gegen sie verwendet 
werden könnte, um eine selbstauf- 
erlegte Zurückhaltung bei der Aus- 
übung grundrechtlich geschützter 
Tätigkeiten fest zu verankern. In an- 
deren Worten: Ein Schaden für den 
Einzelnen und damit auch die Gesell- 
schaft - hierzu in der Folge - wird 
abseits der eigentlichen Zielrichtung 
einer sicherheitsrechtlichen Maßnah- 
me angerichtet, lange bevor aus ihr 
überhaupt Konsequenzen erwachsen 
sollen. Dem vermag Datenschutz vor- 
zubeugen. 


Gewährleistung von demokratischen 
und pluralistischen Strukturen 


Vor dem Hintergrund dieser Überle- 
gung endet die Gewährleistungs- und 
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Unterstützungsfunktion für andere 
Grundrechte durch das Grundrecht 
auf informationelle Selbstbestimmung 
nicht bei den Art. 1 bis 19 GG. Ihm 
kommt vielmehr auch eine wesentliche 
Rolle bei der Garantie der demokra- 
tischen Grundordnung und der Plu- 
ralität der Gesellschaft zu, die selbst 
wiederum Grundvoraussetzungen für 
eine effektive Grundrechtswahrneh- 
mung darstellen. Auch dies hat das 
Bundesverfassungsgericht in Bezug 
auf das Grundrecht für informationelle 
Selbstbestimmung schon früh erkannt, 
indem es auf die Rückkopplung indi- 
vidueller Entfaltungschancen an die 
Funktionsfähigkeit des Gemeinwesens 
verwiesen hat, die selbst wiederum 
wesentlich von der Handlungs- und 
Mitwirkungsfähigkeit der Bürgerinnen 
und Bürger und somit deren Selbstbe- 
stimmung abhängt. So erfüllt funktio- 
nierender Datenschutz auch eine un- 
ersetzliche Aufgabe für die Mitwirkung 
der*s Einzelnen in der demokratischen 
Gesellschaft. 

Die Erfahrung der letzten Jahre zeigt 
zudem, dass datenschutzrechtliche 
Gewährleistungen auch als Garanten 
für die Unabhängigkeit und Diversität 
von Meinungsbildungsprozessen in der 
Demokratie einstehen müssen. Popu- 
listische Erfolge der jüngeren Vergan- 
genheit sind eng mit dem Missbrauch 
von Datenmacht verknüpft. Der Brexit 
oder auch die Wahl Donald Trumps zum 
amerikanischen Präsidenten wurden 
entscheidend durch die umfassenden 
Auswertungen von Nutzerdaten, die 
Erstellung von Nutzerprofilen und den 
Einsatz von hochindividualisierten 
Social-Media-Kampagnen vorangetrie- 
ben. Mithilfe von Methoden wie Mi- 
crotargeting oder Geofencing werden 
so mittels Datenauswertung Echokam- 
mern geschaffen, die den kritischen 
Diskurs ersticken, den jede demokra- 
tische Gesellschaft benötigt. Ein Auf- 
einandertreffen und ein konstruktiver 
Austausch verschiedener Ansichten 
finden so nicht mehr statt. Vielmehr 
wird der Trend zum Extremen geför- 
dert und mit Sichtbarkeit und Klicks 
belohnt. 

Diese Techniken nehmen dabei zu- 
gleich großen Einfluss auf die Freiheit 
unserer Entscheidungen. Indem sie 
steuern, was uns in der Timeline eines 


sozialen Netzwerks angezeigt wird, re- 
geln sie, zu welchen Informationen wir 
bequemen Zugang haben und was wir 
somit regelmäßig zur Grundlage un- 
serer Entscheidungen, Einstellungen 
und Ansichten machen. Mit ihrer Hilfe 
fällt esleicht Nutzerin einem bestimm- 
ten Sinne zu beeinflussen bzw. sie für 
oder gegen eine Sache einzunehmen. 
Noch bedenklicher wird dieses Vor- 
gehen dadurch, dass es vorgaukelt, 
Nutzer träfen eine eigene, freie und 
gar informierte Entscheidung auf der 
Basis selbstgewählter Informationen. 
Tatsächlich verkommt die Freiheit der 
Entscheidung vor dem Hintergrund 
dieser Techniken jedoch vielmehr zu 
einer reinen Illusion. Hier liegt in der 
Zukunft eine Herkulesaufgabe für den 
Datenschutz, bei der er seine Rolle als 
Garant für die Entfaltungsmöglichkeit 
anderer Grundrechte noch viel ernster 
nehmen muss. Bei der Regulation der 
Erstellung und Verwendung umfas- 
sender Nutzerprofile kann der Daten- 
schutz seine Gewährleistungsfunktion 
für das Funktionieren des gesellschaft- 
lichen Diskurses voll ausschöpfen und 
so seiner Rolle als Ermöglicher nach- 
kommen. 

Dies zeigt: Datenschutz schützt 
nicht die Daten sondern die Menschen. 
Er schützt vor Manipulation und ver- 
schleierter Fremdbestimmung. Er ist 
daher selbst nicht nur die regulatori- 
sche Verkörperung informationeller 
Selbstbestimmung, sondern er sichert 
und ermöglicht allen Menschen dar- 
über hinaus generell die allgemeine 
Selbstbestimmung des eigenen Lebens 
schlechthin. 


Datenschutz zwischen Privaten 


Am Beispiel der sozialen Medien of- 
fenbart sich auch die Bedeutung der 
Grundrechtswahrnehmung im Verhält- 
nis zu anderen Privaten. Der Marktplatz 
einer Stadt hat als Ort für den Austausch 
von Meinungen und Informationen ek- 
latant an Bedeutung verloren. Die Funk- 
tion, die dieser Institution des Forums 
in Bezug auf die Grundrechtsbetätigung 
zukam, erfüllen nunmehr Onlineplatt- 
formen, auf denen Begegnung und ge- 
rade auch Meinungsäußerungen und 
-austausch stattfinden. Daher wächst 
die Bedeutung der ebenfalls für den 
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Staat aus dem Recht auf informatio- 
nelle Selbstbestimmung erwachsenden 
Schutzpflichten, mit denen der Daten- 
schutz mittelbar in das Verhältnis zwi- 
schen Privaten hineinwirkt. Je stärker 
die Möglichkeit der effektiven Wahrneh- 
mung von Grundrechten bzw. grund- 
rechtlich geschützten Tätigkeiten von 
Dritten abhängt, desto wichtiger sind 
gute datenschutzrechtliche Regelungen 
und deren konsequenter Vollzug gerade 
auch in diesen Verhältnissen. 


Gewährleistung von Gleichheitsrech- 
ten und Teilhabe 


Datenschutz kommt aber nicht nur 
die Rolle der Abwehr von Einflussnahme 
bei der Wahrnehmung anderer Grund- 
rechte zu. Vielmehr hat er auch bei der 
Durchsetzung des Gleichheitsgrund- 
rechts aus Art. 3 Abs. 1 GG erhebliche 
Bedeutung. So kann Ungleichbehand- 
lung insbesondere dadurch verhindert 
werden, dass für eine Diskriminierung 
nutzbare Merkmale gar nicht erst erho- 
ben werden können. Hierbei kommt der 
Grundsatz der Datenminimierung zum 
Tragen, aus dem sich die Voraussetzung 
der Erforderlichkeit einer Datenverar- 
beitung ableiten lässt. Erst kürzlich hat 
die Landesbeauftragte für Datenschutz 
und Informationsfreiheit der Freien 
Hansestadt Bremen eine Geldbuße ge- 
gen eine Wohnungsbaugesellschaft 
verhängt, die Daten zu den Frisuren, 
dem Körpergeruch und dem Auftreten 
von Mietinteressenten und somit zu 
Informationen gespeichert hat, die für 
die Eingehung eines Mietverhältnisses 
nicht erforderlich sind, die gleichzeitig 
aber für eine diskriminierende Auswahl- 
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entscheidung bei der Wohnungsvergabe 
herangezogen werden können. Gerade 
für Menschen, die zu diskriminierten 
gesellschaftlichen Gruppen gehören, 
erfüllt Datenschutz somit eine wesent- 
liche Funktion bei der Wahrnehmung 
ihrer Rechte auf Teilhabe und der Erfül- 
lung elementarer Grundbedürfnisse wie 
Arbeit oder Wohnen. 

Die Schutz- und Gewährleistungs- 
möglichkeiten des Datenschutzes er- 
schöpfen sich zugleich nicht in der 
Verhinderung einer Verarbeitung nicht 
erforderlicher und potenziell diskrimi- 
nierender Merkmale. Datenschutz zielt 
vielmehr auch auf die Qualität von In- 
formationen als Entscheidungsgrund- 
lage, indem er fordert, dass verarbeite- 
te Daten richtig und erforderlichenfalls 
auf dem neusten Stand sind sowie dass 
unrichtige Daten gelöscht oder berich- 
tigt werden. Dies hat nicht nur Bedeu- 
tung für den Einzelnen, sondern auch 
eine gesamtgesellschaftliche Dimen- 
sion. Indem Datenschutz ein Schlag- 
licht auf den Aspekt der Datenqualität 
wirft, macht er auch auf das Problem 
aufmerksam, dass Datengrundlagen, 
die diskriminierende gesellschaftli- 
che Zustände abbilden, sich nicht als 
Grundlage für Prognosen und Entschei- 
dungen eignen, da andernfalls eine 
Perpetuierung der in ihnen abgebilde- 
ten Ungleichbehandlung zu befürchten 
steht. 


Datenschutz ermöglicht die Grund- 
rechtsausübung 


Anders als oftmals behauptet, ist 
Datenschutz nicht der große Verhin- 
derer. Seine Rolle bei der Wahrneh- 


mung anderer Grundrechte erstreckt 
sich sowohl auf die Beseitigung etwa- 
iger Einschüchterungen durch Chilling 
Effects als auch die Gewährleistung 
von Umständen, die eine unbeein- 
flusste demokratische Teilhabe jeder 
Person ermöglichen, sowie die Unter- 
stützung bei diskriminierungsfreier 
gleichberechtigter Teilhabe an der Ge- 
sellschaft. Dabei ist Datenschutz aber 
nicht paternalistisch. Er stellt, zum 
Beispiel in Form der Betroffenenrech- 
te, Instrumente bereit, die uns alle 
zur selbstständigen Durchsetzung des 
Rechts auf informationelle Selbstbe- 
stimmung und damit verbunden auch 
anderer Grundrechte ermächtigen. So 
übergibt er aber auch jeder einzelnen 
Person eine Verantwortung für die ei- 
gene Grundrechtswahrnehmung, die 
in der Frage kumuliert: Wie ernst will 
ich Datenschutz nehmen? Hierauf müs- 
sen Bürgerinnen und Bürger nicht nur 
selbst eine abstrakte Antwort finden, 
sondern gegebenenfalls auch konkret 
danach handeln, um eigenes Verhal- 
ten datenschutzfreundlich auszurich- 
ten. Für den Staat und Unternehmen 
erwächst daraus jedoch auch die Ver- 
antwortung Digitalisierung gut umzu- 
setzen. Sie können und dürfen nicht 
darauf vertrauen oder gar fordern, dass 
die Bürgerinnen und Bürger schlecht 
umgesetzte technische Maßnahmen 
durch den Verzicht auf ihre Rechte le- 
gitimieren. Wer erreichen will, dass Di- 
gitalisierung Neues ermöglicht, muss 
Datenschutz zuvor als Ermöglicher für 
eine demokratische und digitale Ge- 
sellschaft erkennen, damit sich bisher 
unentdeckte Möglichkeiten der Digita- 
lisierung eröffnen. 


Digitale Grundrechte im internationalen Kontext 


Angesichts des Kriegs in der Ukraine 
ist von einer „Zeitenwende” die Rede. Die 
Position der westlichen Welt gegenüber 
Russland und auch China steht auf dem 
Prüfstand. Das bisherige westliche Credo 
„Wandel durch Handel” hat ausgedient. 
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Die westliche Werteorientierung mit 
der Betonung demokratischer Entschei- 
dungsfindung und der rechtsstaatlich 
abgesicherten Gewährleistung der Men- 
schenrechte spielen plötzlich im globa- 
len Diskurs eine Rolle, wo bisher nur von 


der Globalisierung der Märkte die Rede 
war. Durch die Aufkündigung einer auf 
Regeln beruhenden Weltordnung durch 
den russischen Präsidenten Wladimir Pu- 
tin besinnt sich die westliche Welt auf die 
Regulierung dieser Weltordnung. 
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Die „Zeitenwende” äußert sich prak- 
tisch zunächst in einer Aufwertung des 
Militärs, nicht aber gerade auch der 
Grundrechte. Dessen ungeachtet haben 
Grundrechte eine neue Relevanz gewon- 
nen. Der Schutz der Bürgerrechte wird 
zumindest indirekt wieder als das er- 
kannt, was er ist: die Voraussetzung für 
eine freiheitliche und friedliche zivili- 
sierte Welt. Dabei spielen auch informa- 
tionelle Grundrechte eine Rolle, wenn 
etwa die Überwachungsstaatlichkeit in 
Xinjiang zum Argument dafür wird eine 
staatliche Investitionsgarantie für das 
dortige ökonomische VW-Engagement 
zu verweigern.! 

Die „Zeitenwende“” istein guter Grund, 
eine Positionsbestimmung informatio- 
neller Grundrechte vorzunehmen und 
deren globale Relevanz zu hinterfragen. 
Dabei spielt das Grundrecht auf Daten- 
schutz eine zentrale Rolle, zumal es sich 
als Antwort auf die Polizeistaatlichkeit 
Russlands und Chinas eignet. Es geht 
darum den instrumentellen Charakter 
der Grundrechte in der globalen Politik 
einerseits zu erkennen und andererseits 
zugleich diese Erkenntnis zu nutzen, 
um die digitalen Grundrechte zu stär- 
ken. 


1. Die Entwicklung der digitalen 
Grundrechte aus dem Datenschutz 


Datenschutz ist die Mutter und der 
Ausgangspunkt digitaler Grundrechte. 
Bevor sich der Datenschutz in den 70er- 
Jahren in Deutschland und Europa ent- 
wickelte, wurden Grundrechte analog 
und materiell gedacht und normiert. 
Dies gilt für die englische Magna Charta 
von 1215, für die US-amerikanische Bill 
of Rights von 1789, für die französische 
Erklärung der Menschen- und Bürger- 
rechte von 1789 bis hin zur allgemeinen 
Erklärung der Menschenrechte der Ver- 
einten Nationen von 1948. Das gilt auch 
in Deutschland für den Grundrechts- 
schutz in den Art. 114 ff. der Weimarer 
Reichsverfassung? und dann für den 
prominent platzierten Grundrechtska- 
talog im Grundgesetz (GG) der Bundes- 
republik Deutschland von 1949. 

Die Anpassung des Grundrechtsschut- 
zes an die neue Realität der Automati- 
sierung bzw. Informatisierung erfolgte 
ausgehend von Deutschland mit dem 
Volkszählungsurteil des Bundesverfas- 
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sungsgerichts (BVerfG) 1983.? Soweit 
völkerrechtliche Ansätze verfolgt wur- 
den, etwa mit der Datenschutzkonven- 
tion des Europarats von 1981* oder den 
OECD-Leitlinien von 1980°, wurde dies 
vorrangig mit dem Ziel der Erleichte- 
rung des internationalen Datenverkehrs 
begründet, dem individuelle Schutzer- 
wägungen entgegen stehen können. 
Diese Erwägungen werden so zur Blau- 
pause: Internationalen Austausch - 
auch wissenschaftlich oder ökonomisch 
motiviert - sollteund darfes nur geben, 
wenn nachweisbar bürgerrechtliche 
Mindeststandards eingehalten werden. 

Nicht dem Abbau ökonomischer Hin- 
dernisse, sondern vorrangig dem Ziel 
des humanitären Schutzes dienen die 
„Richtlinien zur Verarbeitung perso- 
nenbezogener Daten” durch einen Un- 
terausschuss für die „Verhütung von 
Diskriminierungen sowie den Schutz 
von Minderheiten, die Menschenrech- 
te und die wissenschaftlich-technische 
Entwicklung“ der UN-Menschenrechts- 
kommission von 1985, die ebenso wie 
bisher fast sämtliche völkerrechtlichen 
Normen nicht bindend sind.° Eine höhe- 
re Verbindlichkeit kommt der Europäi- 
schen Menschenrechtskonvention von 
1950 zu, die über den Geltungsbereich 
der EU hinaus wirkt.’ Diese schützt klas- 
sisch die analogen Menschenrechte, 
darunter in Art. 8 die „Achtung der 
privaten Sphäre” und damit das Privat- 
und Familienleben, die Wohnung und 
den Briefverkehr. In seiner Rechtspre- 
chung hat der Europäische Gerichtshof 
für Menschenrechte hieraus informa- 
tionelle Schlussfolgerungen gezogen, 
die denen des BVerfG und des EuGH ent- 
sprechen.? 

Das Kapitel des normativ gewährleis- 
teten Grundrechtsschutzes öffneten 
Landesverfassungen deutscher Bun- 
desländer (Nordrhein-Westfalen 1978, 
Saarland 1985) sowie anderer europäi- 
scher Staaten v.a. seit den 90er-Jahren.? 
Trotz einiger politischen Bestrebungen 
schaffte es das Grundrecht auf Daten- 
schutz nicht ins GG. Dies erledigte sich 
dadurch, dass 2009 europaweit die eu- 
ropäische Grundrechte-Charta (GRCh) 
in Kraft trat, die in Art. 8 den „Schutz 
personenbezogener Daten“ normativ 
festhält und zugleich die Zweckbin- 
dung, Betroffenenrechte und die unab- 
hängige Kontrolle als wesentliche Rah- 


menbedingungen benennt. Die GRCh 
beschränkt sich hinsichtlich expliziter 
digitaler Grundrechte auf den Daten- 
schutz, erweitert aber den Grundrechte- 
katalog um wesentliche, teilweise tech- 
nisch bedingte dogmatische Neuerun- 
gen, etwa durch das Verbot des repro- 
duktiven Klonens (Art. 3 Abs. 2 lit. d), 
die Verwendung des Begriffs „Kommu- 
nikation” beim Schutz des Post- und 
„Fernmeldegeheimnisses” (Art. 7), eine 
Präzisierung des Diskriminierungsver- 
bots (Art. 21), durch Schutzvorkehrun- 
gen für besonders gefährdete Menschen 
(Ältere, Art. 25; Behinderte, Art. 26; 
Beschäftigte, Art. 27 ff.) und durch die 
Benennung von Schutzzielen (Gesund- 
heitsschutz, Art. 35, Umweltschutz, 
Art. 37, Verbraucherschutz, Art. 38). 
Keine digitale, aber eine informationel- 
le Neuerung ist das Recht auf Zugang 
zu Dokumenten (Art. 42 GRCh) - ein 
Grundrecht, dem sich bis heute das 
BVerfG ohne Not verweigert hat."° 

Einen Ansatz für normativ fixierten 
digitalen Grundrechtsschutz suchte 
eine Gruppe von Politikern und Wissen- 
schaftlern mit einem Entwurf für eine 
„Charta der Digitalen Grundrechte der 
Europäischen Union” im Jahr 2016, der 
das Ziel verfolgt die Debatte um Grund- 
rechte im digitalen Zeitalter zu initiie- 
ren und die bestehenden Grundrechte 
zu stärken und zu konkretisieren.'' The- 
matisiert werden darin automatisierte 
Systeme und Entscheidungen („künst- 
liche Intelligenz“, Robotik, Art. 5), ein 
Recht auf „digitalen Neuanfang” (Art. 7 
Abs. 4), die Sicherheit informations- 
technischer Systeme (Art. 8), das Recht 
auf Zugang zu Kommunikations- und 
Informationsdiensten (Art. 10), Netz- 
neutralität (Art. 11), Pluralität und 
Interoperabilität (Art. 12) sowie ein 
Recht auf Immaterialgüter (Art. 17). Die 
Diskussion hierüber hat die formellen Ka- 
näle der Verfassungsgesetzgebung noch 
nicht erreicht. Wohl aber scheint auf 
einfachgesetzlicher Ebene innerhalb der 
EU hinsichtlich der Regelungsinhalte des 
Charta-Entwurfs ein gewisser Konsens 
zu bestehen, der sich darin äußert, dass 
eine Vielzahl von fortschrittlichen Initia- 
tiven in Kraft gesetzt oder zumindest in 
Angriff genommen wurden. Dies gilt für 
die Regulierung von Internetdiensten 
und der Digitalmärkte, der elektroni- 
schen Kommunikation (ePrivacy), der 
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sog. künstlichen Intelligenz, eines Da- 
tenraums für Gesundheit und Mobilität, 
des Whistleblowings sowie des Zugangs 
zu und der Vermarktung von Daten. Mit 
einer Digitalen Agenda für Europa 2020 
werden weitere Aspekte politisch und 
rechtlich angegangen. Demgegenüber 
beschränkt sich z.B. auf nationaler Ebe- 
ne der Koalitionsvertrag der rot-grün- 
gelben Bundesregierung in Deutsch- 
land auf Umsetzungsfragen ohne einen 
umfassenderen Ansatz beim digitalen 
Grundrechtsschutz zu suchen.” 


2. Vorbild DSGVO 


Für die internationale Verbreitung 
digitalen Grundrechtsschutzes hat die 
europäische Datenschutz-Grundver- 
ordnung (DSGVO) zentrale Bedeutung. 
Zwar hat schon zuvor der Europäische 
Gerichtshof (EuGH) mit dem Safe-Har- 
bor-Urteil'® die rechtliche Grundlage 
dafür geschaffen, dass es beim Grund- 
rechtsschutz im Rahmen des grenz- 
überschreitenden Informationsaus- 
tauschs auf Gegenseitigkeit ankommt. 
Dem EuGH kommt auch der Verdienst 
zu, dass er mit seinem Privacy-Shield- 
Urteil'* und seinem Gutachten zum ka- 
nadischen Passenger-Name-Record” 
darauf besteht, dass diese Gegenseitig- 
keitsverpflichtung nicht aus politischen 
Opportunitätserwägungen relativiert 
oder gar zurückgenommen wird. 

Den konkreten Rahmen für eine Ge- 
genseitigkeitsanerkennung digitaler 
Grundrechte setzt aber die DSGVO. Die- 
se verbietet grundsätzlich den Aus- 
tausch personenbezogener Informatio- 
nen mit dem Ausland, wenn dort nicht 
ein hinreichender Grundrechtsschutz 
gewährleistet wird. Dieser Grundsatz 
kennt zweifellos - auch humanitär be- 
gründete - Ausnahmen. Doch schafft 
die DSGVO vor allem ein Instrumenta- 
rium, um den Grundrechtsschutz zu 
exportieren. Dabei macht sie sich den 
Umstand zu Nutze, dass die wirtschaft- 
lich bedingte internationale Koopera- 
tion kaum noch ohne den Austausch 
personenbezogener Daten auskommt. 
Das stärkste Instrument ist der Ange- 
messenheitsbeschluss (Art. 45 DSGVO), 
der das Ausland veranlasst den europä- 
ischen Grundrechtsschutz zumindest 
ansatzweise ins eigene Rechtssystem 
zu importieren. Dass inzwischen so un- 
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terschiedliche Staaten wie Japan und 
Brasilien diesen Weg gegangen sind, 
auch wenn es normative sowie vor al- 
lem administrative Defizite geben mag, 
zeigt die Bereitschaft dieser Länder dem 
Datenschutz durch Normsetzung eine 
erhöhte Verbindlichkeit beizumessen. 
Für die Feststellung der Angemessen- 
heit kommt es nicht darauf an, dass die 
zum Einsatz kommenden Instrumente 
mit ihren rechtlichen Zuordnungen und 
deren Ableitungen identisch zu denen 
der DSGVO sind. Von zentraler Bedeu- 
tung ist, dass das, was in Deutschland 
informationelle Selbstbestimmung 
genannt wird, im Ergebnis normativ 
gewährleistet und tatsächlich in der 
lokalen Kultur etabliert ist, wobei die 
Kulturen sich nicht nur unterscheiden 
können, sondern auch angesichts un- 
terschiedlicher ökonomischer, sozia- 
ler und politischer Bedingungen sowie 
historischer Traditionen unterscheiden 
müssen. Es wäre weder den Menschen 
noch dem internationalen wirtschaft- 
lichen Austausch gedient, wenn west- 
europäische Bürgerrechtler versuchen 
würden ihr Verständnis und ihre Pra- 
xis des Grundrechtsschutzes in andere 
Staaten zu exportieren oder gar zu ok- 


troyieren. 
Strukturell unterscheiden sich die 
Kulturen informationeller Selbstbe- 


stimmung hinsichtlich der Beziehung 
des einzelnen Menschen zu den gesell- 
schaftlich schützenden und geschütz- 
ten Kollektiven - von der Familie über 
die Religionsgemeinschaft bis hin zur 
staatlichen Gemeinschaft. Bei aller Un- 
terschiedlichkeit dürfen aber Minimal- 
standards bzgl. der seit Jahrzehnten 
anerkannten (analogen) Grundrechte 
nicht negiert werden, vom Gleichheits- 
grundsatz (auch zwischen Mann und 
Frau), dem Recht auf körperliche Un- 
versehrtheit bis hin zu den politischen 
Freiheiten. Das in Westeuropa domi- 
nierende Primat der Wirtschaft darf 
aber in keinem Fall zur Grundlage für 
die Feststellung einer Grundrechtsan- 
gemessenheit gemacht werden. Es mag 
für westliche Kulturen prägend sein, hat 
aber jenseits der individuellen Selbstbe- 
stimmung keine grund- oder menschen- 
rechtliche Rechtfertigung. 

Soweit eine Feststellung der Ange- 
messenheit nicht gelingt, wie etwa 
mit den USA, hält die DSGVO weitere 


Instrumente bereit, mit denen zumin- 
dest grundrechtliche Brückenköpfe im 
Ausland gesetzt werden können, insbe- 
sondere die Standarddatenschutzklau- 
seln sowie die Binding Corporate Rules 
(Art. 46, 47 DSGVO). 

Es gibt auch Staaten, bei denen eine 
Angemessenheit des Grundrechts- 
schutzes in keinem Fall festgestellt und 
auch über organisatorische Instrumen- 
te nicht hergestellt werden kann. So 
ist etwa die Datenverarbeitung in der 
Volksrepublik China momentan weder 
denkbar noch akzeptabel. Und seitdem 
sich China Hongkong rechtlich und 
politisch einverleibt hat, gilt dies auch 
für diesen Standort. So ist es nach der 
DSGVO z.B. schlicht unzulässig Genana- 
lysen von Schwangeren im Interesse ei- 
ner Trisomie-Feststellung in Hongkongs 
Laboren in Auftrag zu geben." 


3. Informationelle Selbstbestim- 
mung und Repression 


Das Grundrecht auf Datenschutz ist 
kein für sich alleinstehendes Recht. 
Schon in der dieses Grundrecht begrün- 
denden Volkszählungsentscheidung 
leitete das BVerfG das Recht auf infor- 
mationelle Selbstbestimmung aus dem 
allgemeinen Persönlichkeitsrecht ab, 
also aus der Würdegarantie des Art. 1 
Abs. 1 GG und der allgemeinen Hand- 
lungsfreiheit des Art. 2 Abs. 1 GG. Die 
„Befugnis des Einzelnen, grundsätz- 
lich selbst über die Preisgabe und Ver- 
wendung seiner persönlichen Daten 
zu bestimmen” sollte einen dienenden 
Charakter haben, nämlich individuell 
die Freiheitsrechte des Einzelnen zu si- 
chern und gesellschaftlich den Schutz 
des „auf Handlungs- und Mitwirkungs- 
fähigkeit seiner Bürger begründeten 
freiheitlichen demokratischen Gemein- 
wesens” sicherzustellen. Das BVerfG 
erwähnte dort ausdrücklich politische 
Grundrechte, konkret die auf „Teilnah- 
me an einer Versammlung oder einer 
Bürgerinitiative” (Art. 8, 9 GG), be- 
schränkte das Recht aufinformationelle 
Selbstbestimmung aber nicht hierauf. 
Es betonte, dass die informationelle Er- 
fassung zum Verzicht jedes Grundrechts 
führen könne.” 

Dabei nannte das BVerfG keine wei- 
teren Belege dafür, dass Datenüber- 
wachung zu einem Grundrechtsverlust 
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führen kann, sondern setzte dies vor- 
aus: Deutsche Staaten hatten genügend 
Beispiele geliefert, wie Datenerfassung 
zum Grundrechtsverlust und zur Demo- 
kratiegefährdung führt. In der Bundes- 
republik waren entsprechende Erfah- 
rungen im Nationalsozialismus und im 
realen Sozialismus der DDR präsent. Es 
bedurfte keines Psychologisierens, um 
die zerstörerische Kraft staatlicher Kon- 
trolle für Freiheitsrechte und Demokra- 
tie zu plausibilisieren. 

Dies mag sich knapp 40 Jahre später 
anders darstellen, nachdem die Repres- 
sion der DDR-Stasi nicht mehr im Be- 
wusstsein und die Erinnerung an den 
Nationalsozialismus für viele verblasst 
ist. Die Bedeutung von Freiheitsrech- 
ten hat sich für viele Menschen immer 
mehr darauf reduziert hemmungslos 
konsumieren zu können und folgen- 
los Deutschland eine Merkel-Diktatur 
nennen zu dürfen. In diese Zeit drängt 
sich nun die Zeitenwende, mit der ein 
Totalitarismus a la Russland oder China 
präsent wird. Globale Konflikte, etwa 
die Klimakatastrophe, die Umweltzer- 
störung, das Artensterben, die Über- 
bevölkerung oder der Welthunger ma- 
chen den Menschen im Westen bewusst, 
dass Konsum und Narrenfreiheit keine 
Selbstverständlichkeit sind; der Ukrai- 
nekrieg schafft diese Botschaft täglich 
in die Nachrichten. 

Diese Bewusstseinserweiterung bleibt 
partiell. Gerade die gesellschaftspoliti- 
schen, teils globalen und durchgängig 
komplexen Herausforderungen führen 
dazu, dass die Menschen ihre Wahrneh- 
mung von Grundrechten auf einen indi- 
viduellen Hausgebrauch reduzieren. An- 
gesichts der allgegenwärtigen Probleme 
scheint die Wahrung des Datenschutzes 
von vielen als Luxus-Problem wahrge- 
nommen zu werden. Der Konsumismus, 
der sich seit Jahrzehnten immer weiter 
verstärkt hat und an dem gerade private 
Digitalunternehmen einen beschleuni- 
genden Anteil haben, tut das Seine, um 
Datenschutz von der Tagesordnung zu 
streichen. Die Folge ist, dass das The- 
ma gerade in Deutschland - dem Land, 
das über Jahrzehnte beim Datenschutz 
als Vorreiter auch im gesellschaftlichen 
Bewusstsein wahrgenommen wurde -in 
der Rangordnung verliert. Es gibt nicht 
nur ein Datenschutz-Paradoxon der Ver- 
braucher, die ihre digitale Privatsphäre 
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als stark schützenswert ansehen und 
die zugleich relativ bedenkenlos da- 
tenschutzwidrige digitale Medien nut- 
zen. Es gibt dieses Paradoxon auch bei 
Behörden, die den Datenschutz hoch- 
halten, um Transparenz und Kontrolle 
bei sich zu verhindern und zugleich 
bedenkenlos datenschutzwidrig Social 
Media zum Einsatz bringen. Viele in den 
deutschen Behörden und in der Politik 
haben offenbar immer noch nicht er- 
kannt, welche zerstörerische Kraft von 
datenschutzwidrigen und damit ille- 
galen Geschäftsmodellen wie Facebook 
ausgeht."? 


4. Digitalisierte Grundrechte 


Die Beschränktheit des Bewusstseins 
über den Datenschutz ändert nichts an 
dessen freiheitssichernden Funktion 
in einer digitalisierten Informations- 
gesellschaft. Es ist offenbar, dass in 
Gesellschaften, in denen religiöse Ver- 
folgung und Diskriminierung droht, 
zur Religionsfreiheit (Art. 4 GG, Art. 10 
Abs. 1 GRCh) gehören muss die eigene 
Religionszugehörigkeit geheim halten 
zu können. Der Schutz vor politischer 
Verfolgung des Asylrechts (Art. 16a 
Abs. 1 GG, Art. 18 GRCh) muss einher 
gehen mit einem „Asylgeheimnis”, das 
insbesondere vor einer Datenpreisgabe 
gegenüber den politischen Verfolgern 
bewahrt.'° Welche dramatischen Fol- 
gen informationelle Erfassung nach 
einem Systemwechsel von einer fragi- 
len Demokratie hin zu einem religiös- 
fundamentalistischem Gewaltsystem 
haben kann, zeigen jüngst Erfahrun- 
gen in Afghanistan.?° Dass der Schutz 
der Wohnung (Art. 13 GG, Art. 7 GRCh) 
eine informationelle Komponente hat 
und deshalb der Lausch- und Spähein- 
griff unzulässig ist, wurde vom BVerfG 
eindrucksvoll nach dem gesetzlichen 
Angriff auf das Heim als individuellen 
Rückzugsraum dargelegt.?! Bei der Zu- 
rückweisung der Einschränkungen von 
Mobilität und Freizügigkeit (Art. 11 GG) 
durch das BVerfG über das Instrument 
der Kfz-Kennzeichenerfassung??” oder 
durch den Europäischen Gerichtshof 
(EuGH) über das Instrument des Pas- 
senger-Name-Records” beriefen sich 
die obersten Gerichte auf das Daten- 
schutzgrundrecht ohne dessen analoge 
Relevanz zu betonen. Entsprechendes 


gilt für Standortdaten und das Telekom- 
munikationsgeheimnis in einer Vielzahl 
von Entscheidungen des EuGH und eu- 
ropäischer Verfassungsgerichte zur Vor- 
ratsdatenspeicherung.”* Die Parallelität 
des Datenschutzes mit dem Schutz des 
Fernmelde- bzw. Telekommunikations- 
geheimnisses (Art. 10 GG, Art. 7 GRCh) 
wurde in vielen höchstrichterlichen 
Entscheidungen betont.” 

Das BVerfG hat sich innovativ dadurch 
hervorgetan, dass es - auch aus dem 
allgemeinen Persönlichkeitsrecht - ein 
neues digitales Grundrecht abgeleitet 
hat: das Recht auf Gewährleistung der 
Vertraulichkeit und Integrität informati- 
onstechnischer Systeme, auch „Compu- 
ter-Grundrecht” genannt.?‘ Damit zieht 
das BVerfG konsequent einen Schluss 
aus dem Umstand, dass in unserer di- 
gitalisierten Gesellschaft nicht mehr 
nur die Wohnung (räumlich) und die 
Familie (sozial) einen höchstpersönli- 
chen Schutzbereich darstellen müssen, 
sondern auch die von einem Menschen 
privat genutzten informationstechni- 
schen Digitalgeräte. Dass das Patien- 
tengeheimnis als spezifischer Daten- 
schutz auch dem Schutz der beruflichen 
Verschwiegenheit (Art. 12 GG, Art. 15 
GRCh) sowie des Lebens und der kör- 
perlichen Unversehrtheit (Art. 2 Abs. 1 
GG, Art. 3 GRCh) dient, hat eine uralte 
Tradition.?’ Auch der Schutz der Familie 
(Art. 6 GG, Art. 7 GRCh) hat informatio- 
nell einen abwehrenden Charakter.?® 

Neben den Freiheitsrechten bestehen 
zwischen den Gleichheitsrechten (Art. 3 
GG, Art. 20, 21, 23 GRCh) bzw. dem 
Schutz vor Diskriminierung elementare 
Wechselwirkungen zum Grundrecht auf 
Datenschutz. Dies findet seinen nor- 
mativen Ausdruck in dem besonderen 
Schutz sensitiver Daten in Art. 9 DSGVO, 
wonach die Verarbeitung von „Daten, 
aus denen die rassische und ethnische 
Herkunft, politische Meinungen, re- 
ligiösse oder weltanschauliche Über- 
zeugungen oder die Gewerkschafts- 
zugehörigkeit hervorgehen, sowie die 
Verarbeitung von genetischen Daten, 
biometrischen Daten zur eindeutigen 
Identifizierung einer natürlichen Per- 
son, Gesundheitsdaten oder Daten zum 
Sexualleben oder der sexuellen Orien- 
tierung“ einer spezifischen und erhöh- 
ten Legitimation bedürfen. 
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Selbst Sicherungen der Rechtsstaat- 
lichkeit und des gerichtlichen Rechts- 
schutzes (Art. 19 Abs. 4 GG, Art. 47 
GRCh) bedürfen einer informationellen 
Flankierung. Prozessuale Absicherun- 
gen sind die Unschuldsvermutung, der 
Nemo-Tenetur-Grundsatz”° sowie die 
Ansprüche auf Resozialisierung und auf 
ein faires Verfahren (Art. 48, 49 GRCh). 
Art. 10 DSGVO, der die Verarbeitung von 
Daten über Verurteilungen und Straf- 
taten einschränkt, basiert auf entspre- 
chenden Erwägungen. 

Mit dem Internet und den dort zum 
Einsatz kommenden Social Media hat 
das Verhältnis der Meinungs- und In- 
formationsfreiheit (Art. 5 GG, Art. 11 
GRCh) zum Datenschutz bzw. das Ver- 
hältnis zwischen Verantwortlichkeit 
und Anonymität besondere Relevanz 
erhalten: Die unbeobachtete Informati- 
onsbeschaffung und freie Meinungsäu- 
ßerung sind eine Grundvoraussetzung 
für den demokratischen und angstfreien 
Diskurs. Zugleich führt die Anonymität 
und globale Verbreitbarkeit von Hass- 
und Falschbotschaften, also von Hate- 
speach und Fakenews, zur wohl derzeit 
größten Gefahr weltweit für die Demo- 
kratie und für das Persönlichkeitsrecht 
von Betroffenen. Beredtes Zeugnis hier- 
für ist die Aufpeitschung zum Rassen- 
hass durch Facebook etwa in Myanmar 
gegen die Rohinjas? oder die diskurs- 
zerstörende Wirkung dieser Plattform 
auf den Philippinen.°! 

Der EuGH”, das BVerfG® und nati- 
onale Gerichte haben sich in vielen 
Entscheidungen zum Verhältnis von 
Meinungsfreiheit und Persönlichkeits- 
schutz geäußert. Es ist ein bisher nur 
in Ansätzen - etwa mit dem Netzwerk- 
durchsetzungsgesetz und geplant mit 
dem Digital Services Act”* - gelöstes 
Regulierungsproblem der verantwor- 
tungsvollen Freiheitsicherung des für 
die Demokratie unabdingbaren Kampfes 
um Wahrheit und Meinungen. Gerade 
insofern unterscheiden sich autoritäre 
und totalitäre Staaten wie Russland und 
China, aber auch weniger entwickel- 
te Staaten wie Iran, von Demokratien, 
dass dort sowohl die Informationsbe- 
schaffung als auch die Informationsver- 
breitung kontrolliert und im Zweifelsfall 
zensiert und sanktioniert werden. 

Schon bei den analogen Grundrechten 
gilt das, was für digitale Grundrechte 
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hinsichtlich der Rolle des Staates noch 
wichtiger ist, da individueller Schutz 
für Betroffene hier ohne fremde Hil- 
fe oft unmöglich ist: Die Grundrechte 
sind nicht nur Abwehrrechte vor ho- 
heitlichen Eingriffen, sondern begrün- 
den auch Ansprüche auf Teilhabe und 
auf staatliche Gewährleistungen ein- 
schließlich des Schutzes vor Eingriffen 
durch Private. Dies gilt insbesondere für 
den Schutz vor Übergriffen durch glo- 
bale Digitalkonzerne, aber auch durch 
einzelne Personen, die sich z.B. im Netz 
mit Fakenews und Hatespeach über an- 
dere Menschen hermachen. Es geht um 
eine staatliche Schutzpflicht, über die 
verhindert werden muss, dass Selbst- 
bestimmung durch Informationsverar- 
beitung in Fremdbestimmung verkehrt 
wird.” Wie diese Schutzpflicht umge- 
setzt wird, bleibt aber weitgehend dem 
Gesetzgeber überlassen. 


5. Der Datenschutz als Menschen- 
recht? 


Die Enthüllungen Edward Snowdens 
zu den weltweiten Überwachungsakti- 
vitäten insbesondere des US-Geheim- 
dienstes NSA (National Security Agency) 
und des britischen GCHQ (Government 
Communications Headquarters) hatten 
eine weltweite Diskussion über Über- 
wachung und Datenschutz zur Folge. 
So offensichtlich es war, dass die Akti- 
vitäten von NSA und GCHQ nicht in Ord- 
nung sind, so wenig klar war aus Völker- 
rechtssicht, weshalb. Es fehlt eine klare, 
weltweit geltende normative Grund- 
lage. Auf Initiative von Brasilien und 
Deutschland beschloss der Menschen- 
rechtsausschuss der Vollversammlung 
der Vereinten Nationen am 26.11.2013 
die Resolution „Recht auf Privatheit im 
digitalen Zeitalter”. Darin wird Bezug 
genommen auf das Recht auf Privatheit, 
wie esin Art. 12 der Allgemeinen Erklä- 
rung der Menschenrechte und in Art. 17 
des Internationalen Paktes für zivile 
und politische Rechte gewährleistet ist. 
Sie erkennt an, dass der Schutz der Pri- 
vatheit „wichtig für die Verwirklichung 
des Rechts auf freie Meinungsäußerung 
und auf unbeeinträchtigte Überzeu- 
gung sowie eine der Grundlagen einer 
demokratischen Gesellschaft ist” und 
bestätigt, „dass dieselben Rechte, die 
Menschen offline haben, einschließlich 


des Rechts auf Privatheit, auch online 
geschützt werden müssen”.°s 

Die Erwartung bzw. Hoffnung, dass 
die Enthüllungen von Snowden und die 
dadurch ausgelösten Diskussionen glo- 
bal eine Initialzündung für die Schaf- 
fung eines internationalen digitalen 
Grundrechtsschutzes würden, ist in- 
zwischen verflogen. Dies hat nicht nur 
seinen Grund darin, dass Mächte wie 
China oder Russland sich einer solchen 
Entwicklung entgegensetzen. Hinder- 
lich für eine Verbreitung des Gedankens 
eines digitalen Grundrechtsschutzes 
waren und sind auch die USA, selbst 
unter einer von Barack Obama oder Joe 
Biden geführten Administration. Es hat 
sich nichts daran geändert, dass die US- 
Administration Verfechter des digitalen 
Grundrechtsschutzes wie Edward Snow- 
den verfolgt statt diesen zu danken und 
diese zu ehren. 

Die Diskussion in den USA war und 
ist geprägt von Abwehrkämpfen gegen 
europäische grundrechtliche Begehr- 
lichkeiten. Dies ist erstaunlich, zumal 
die Ursprünge der Debatten um digitale 
bzw. informationelle Grundrechtein den 
USA zu finden sind.” Die verfassungs- 
rechtliche Konkretisierung digitaler 
Grundrechte allgemein und von „Priva- 
cy” spezifisch scheiterte bisher an den 
sicherheitspolitischen Interessen der 
US-Administration sowie den ökonomi- 
schen Interessen der US-Internetwirt- 
schaft. Einer der europäischen Verfas- 
sungsentwicklung vergleichbaren Wei- 
terschreibung von Grundrechten steht 
in den USA ein für europäische Juristen 
schwer nachvollziehbares Verständnis 
von „Privacy“ entgegen. Dieses nimmt 
auf der höchsten Ebene des Supreme 
Courts Digitalisierung nicht zur Kennt- 
nis. Bis zur jüngsten Wende im Rahmen 
der Entscheidung des Supreme Court 
zur Abtreibung vom 24.06.2022°® ver- 
trat dieses Gericht mit der Entscheidung 
„Roe vs. Wade” 1973 z.B. die Ansicht, 
dass das analoge Recht auf Abtreibung 
unter „Privacy“ zu subsumieren sei.” 
Die Interessenlage hat sich in den USA 
seit 2013 nur wenig geändert: Das über- 
bordende Interesse an staatlich herzu- 
stellender informationeller Sicherheit 
ist ungebrochen. Wohl ist eine zuneh- 
mende Skepsis gegenüber den Macht- 
ansprüchen der US-Digital-Konzerne 
feststellbar. Dies zeigt sich auch in einer 
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Vielzahl von Gerichtsentscheidungen in 
den USA. Diese können aber - anders als 
in Europa - nicht auf eine konsistente 
Verfassungsrechtslage zurückgreifen. 

In Staaten außerhalb der westlichen 
Hemisphäre kann von einer Anerken- 
nung des Datenschutzes als Menschen- 
recht keine Rede sein. Datenschutzge- 
setze in China“ oder in Russland dienen 
nicht oder nur begrenzt dem Schutz des 
Individuums, allenfalls in dessen Rolle 
als Verbraucher. Das Primat staatlicher 
Kontrolle gilt mehr denn je und wird 
in immer mehr digitalen Kontrollins- 
trumenten umgesetzt. Das weltweite 
Bekenntnis zu Menschenrechten nach 
dem zweiten Weltkrieg war immer brü- 
chig, ist aber brüchiger geworden und 
erstreckt sich noch nicht mal im Ansatz 
auf den digitalen Raum. 


6. Totalitarismus auf dem Vormarsch? 


Es war eine allgemein anerkannte Vor- 
stellung zu Beginn dieses Jahrtausends, 
dass mit der Verbreitung des globalen 
Internets ein weltweiter Informations- 
austausch ermöglicht wird, was letzt- 
lich Demokratisierung zur Folge haben 
würde. Diese Hoffnung wurde durch 
den von digitalen Medien getriebenen, 
im Dezember 2010 beginnenden sog. 
arabischen Frühling befeuert. Von die- 
ser Hoffnung ist wenig geblieben. Nach 
einer Reform- und Öffnungsphase ab 
1978 hatte sich China unter Xi Jinping 
schon viel früher immer mehr zu einem 
allüberwachenden Überwachungs- 
staat entwickelt. Der Austausch über 
das WorldWideWeb wurde behindert, 
das nationale Netz einer strengen Zen- 
sur unterworfen, digitale Technik wur- 
de zur Totalkontrolle der Bevölkerung 
eingesetzt. Seit dem Massaker auf dem 
Tian’anmen-Platz in Peking 1989 konn- 
te dies für jeden, der dies wissen wollte, 
erkennbar sein. In Xinjiang betreibt die 
chinesische Regierung mit hohem tech- 
nischen Aufwand die Zerstörung des Le- 
bens und der Kultur der Uiguren. 

Ihren Einsatz der Digitaltechnik ex- 
portiert China erfolgreich in die ganze 
Welt. Chinesische Unternehmen sind 
auf den digitalen Märkten aktiv, sei es 
mit Tiktok“' im Bereich der Social Me- 
dia, mit Alibaba im Bereich des Online- 
Handels, mit Huawei und später Xiaomi 
bei Smartphones und mit Huawei bei 
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mobiler Netzwerktechnik. Die chinesi- 
schen Unternehmen unterwerfen sich 
umfassend den Kontrollwünschen der re- 
gierenden kommunistischen Partei, der 
Sicherheitsbehörden und des Militärs. Es 
war ein dem digitalen Grundrechtsschutz 
wenig zugeneigter US-Präsident Donald 
Trump, der sich dem chinesischen digita- 
len Expansionsstreben entgegenstellte. 
Die arabischen Staaten haben sich 
fast durchgängig zu High-Tech-Über- 
wachungsgesellschaften entwickelt. 
Der schitisch-islamische Iran schottet 
sich ähnlich wie China ab. Das sunniti- 
sche Saudi-Arabien oder die Vereinigten 
Arabischen Emirate verfolgen totalitäre 
Kontrollstrategien gegenüber ihrer Be- 
völkerung. Russland, das sich um die 
2000er-Jahre noch dem Westen geöffnet 
hatte, verschärft seitdem Überwachung 
und Zensur und bietet Cyberkriminel- 
len nicht nur eine sichere Heimstatt, 
sondern Lohn und Brot. Mit dem krie- 
gerischen Einfall in die Ukraine befreite 
sich das Russland Putins von jeglichen 
bürgerrechtlichen Fesseln und profiliert 
sich als Hauptproduzent von Hass und 
realitätsungetrübter Propaganda. 


7. Herausforderungen auch in demo- 
kratischen Staaten 


Auch in westlichen Ländern und Euro- 
pa ist es mit dem digitalen Grundrechts- 
schutz nicht zum Besten gestellt: Trump 
schafft es seit Jahren unter Einsatz 
digitaler Medien die US-Gesellschaft 
zu spalten. In Großbritannien wurde - 
auch Dank einer auf Fakenews basierten 
Medienkampagne - die politische Loslö- 
sung von der EU durchgesetzt. In Polen 
und Ungarn werden Medien und Justiz 
immer mehr gleichgeschaltet. Selbst vor 
der Gleichschaltung der Datenschutz- 
kontrolle machte der ungarische Minis- 
terpräsident Orban nicht halt.” 

Die aktuellen Entwicklungen haben 
in westlichen Gesellschaften zur Folge, 
dass das Primat der Wirtschaft nicht 
mehr alleinbestimmend ist und Werte- 
orientierungen an Bedeutung gewin- 
nen. Gesellschaftlicher Optimismus ist 
zweifellos alsindividuelle Grundhaltung 
begrüßenswert. Doch die Annahme, 
dass die Geschichte durch den weltwei- 
ten - ökonomischen wie informationel- 
len - Austausch zwangsläufig zu mehr 
Frieden und Freiheit führt, hat sich als 


Irrglaube und gefährliches Wunsch- 
denken erwiesen. Spätestens mit dem 
Einmarsch Russlands in die Ukraine ist 
offenbar, dass Frieden, Freiheit, Demo- 
kratie und eben auch informationelle 
Selbstbestimmung immer wieder neu 
erkämpft werden müssen. Bei diesem 
Kampf müssen angesichts der oft beste- 
henden globalen Abhängigkeiten und 
Verflechtungen diese immer im Blick 
bleiben. 

Seit ca. fünf Jahren wird im Bereich 
der Digitalisierung nun auch in West- 
europa verstärkt auf Souveränität ge- 
setzt.“° Es ist vielleicht eine Ironie der 
Geschichte, dass das Anfang der 70er- 
Jahre in ökologischen alternativen 
Zirkeln verbreitete Motto des „small 
is beautiful“ informationstechnisch 
ein Revival erlebt: Offline ist besser als 
online, dezentral besser als zentral, 
regional besser als international. Das 
Motto steht aber oft im praktischen Wi- 
derspruch zu digitalen Realitäten und 
Notwendigkeiten: Vernetzung zwingt zu 
globalen Standards und größtmöglicher 
Einheitlichkeit, Cybersicherheit muss 
sich weltweit am jeweils höchsten Stand 
orientieren. Und schließlich ist es im- 
mer (noch) eine nicht zu ignorierende 
Realität im globalen Digitalwettbewerb: 
„Ihe winner takes it all“. 

Gefordert ist daher eine komplexe 
und differenzierte Digitalpolitik im 
Dienste des Grundrechtsschutzes. Trotz 
des weitverbreiteten Geredes über digi- 
tale Disruption kann und darf insofern 
keine disruptive „Zeitenwende” erfol- 
gen, wohl aber sind Prioritäten neu zu 
setzen. Das Primat der Wirtschaft muss 
dem Primat der Politik weichen. Das Pri- 
mat des Verarbeiters, ob Unternehmen 
oder Staat, muss dem Primat des ge- 
meinschaftsverpflichteten Individuums 
weichen. 

Digitale Souveränität ist oft national 
realistisch nicht mehr möglich; europäi- 
sche Ansätze drängen sich auf. Europaist 
nicht nur eine Werte-, sondern auch eine 
Rechtsgemeinschaft. Die EU-Kommission 
nimmt insofern mit ihrer Digitalstrategie 
und den darin enthaltenen Rechtsinstru- 
menten richtige Weichenstellungen vor. 
Der europäische Ansatz vermeidet einen 
nationalistischen Zungenschlag. Ein 
Streben nach europäischer Souveränität 
bewahrt und fördert zugleich die politi- 
sche und rechtliche Integration Europas. 
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Beim digitalen Grundrechtsschutz 
gibt es nicht nur Schwarz und Weiß. Eu- 
ropa ist beileibe nicht nur auf der Seite 
des Guten, die USA, Russland und China 
sind nicht zwangsläufig auf der Seite des 
Bösen. Die europäischen Reaktionen 
auf die Snowden-Enthüllungen zeigten 
europäische, im Gleichklang mit den 
USA stehende Überwachungsinteressen 
auf, mit dem Wunsch nach Teilhabe an 
den US-Erkenntnissen und dem Ziel die 
digitale Technik zur Herrschaftserwei- 
terung und -sicherung nach innen wie 
nach außen zu nutzen. Zu verlockend 
sind Vorratsdatenspeicherungen oder 
die Inhaltskontrolle der Internet-Kom- 
munikation, um so legitime Ziele wie 
die Bekämpfung von Terrorismus oder 
Kinderpornografie zu verfolgen. Europa 
hebt sich allenfalls graduell von ande- 
ren Staaten in der Welt ab, insbesondere 
Dank einer agilen Zivilgesellschaft und 
relativ unbestechlicher Gerichte. 

Die aktuelle ökonomische Antwort auf 
die Globalisierung lässt sich auf das Digi- 
tale übertragen: Es kann und es darf kei- 
ne vollständige Abschottung geben. Dies 
gilt wegen des sich entwickelnden tech- 
nischen und ökonomischen Know-hows, 
dassich zuletztv.a.inden USA und China 
weiterentwickelt hat und wovon Europa 
lernen kann. Mitte des 20. Jahrhunderts 
setzte Deutschland noch technologische 
Standards. Auch sind die Zeiten wie Ende 
des 20. Jahrhunderts vorbei, als China 
von westlichen Staaten v.a. kopierte. In 
Sachen Big Data, sog. künstlicher Intel- 
ligenz sowie Vernetzung kann Europa 
lernen und muss lernbereit werden bzw. 
bleiben. Europa kann für das globale Di- 
gitalwissen sein Grundrechts-Know-how 
einbringen, etwa zu Privacy-Enhancing- 
Technologies und zu kooperativen Verar- 
beitungsmethoden. 


8. Grundrechtsschutz und Digital- 
wirtschaft 


Hinsichtlich der Hardware-Produk- 
tion wird die Digitalwirtschaft immer 
von Rohstofflieferungen abhängig 
sein. Dies hindert Produzenten bzw. Ge- 
sellschaften nicht die Einhaltung von 
Grundrechtsstandards entlang der Lie- 
ferketten normativ einzufordern und 
zu kontrollieren - bei allen praktisch 
notwendigen Kompromissen. Eine zen- 
trale Lehre aus dem Ukraine-Konflikt 
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ist, dass die eigene Bestimmungsmacht 
über wesentliche Produktionsbereiche 
gewahrt bzw. wieder hergestellt wer- 
den muss. Es ist einfach klug Standort- 
entscheidungen zu Halbleiterfabriken 
oder die Herstellung von Produkten für 
den digitalen Alltag wie insbesondere 
für die kritische Infrastruktur nicht nur 
von den aktuellen Produktionskosten 
bestimmen zu lassen. Erwägungen der 
Souveränität und der Grundrechtskon- 
formität über die gesamte Lieferkette 
sind einzupreisen. In Europa vorhande- 
ne Ressourcen können gehoben werden. 
Bei der Fertigung von Halbleitern liegt 
der Marktanteil Europas derzeit bei ca. 
10%.“ Bestehende Ressourcen des Re- 
cyclings wurden bisher vernachlässigt; 
sie sind nicht nur eine Frage des Um- 
weltschutzes, sondern auch eine Frage 
der Souveränität und damit letztlich des 
digitalen Grundrechtsschutzes. 

Was für die Hardware gilt, gilt verstärkt 
für die Softwareproduktion und -pflege. 
Im Interesse einheitlicher Standards ist 
die Produktion von Software-Bestand- 
teilen an fernen Standorten oft nahe- 
liegend. Das Prinzip der datenschutz- 
rechtlichen Verantwortlichkeit setzt aber 
voraus, dass das Know-how über die we- 
sentlichen Funktionalitäten vor Ort vor- 
handen ist. Wird dieses Know-how von 
einem Software-Lieferanten verweigert, 
so ist der Nichteinsatz dieser Software 
die einzige vernünftige Antwort. Wie 
weit die Praxis hiervon entfernt ist, zei- 
gen die Weigerung Facebooks angesichts 
der gemeinsamen Verantwortlichkeit 
z.B. von Fanpages ein transparentes und 
dadurch datenschutzkonformes „Adden- 
dum” zur Verfügung zu stellen, die Wei- 
gerung des Auftragsverarbeiters Ama- 
zonWebServices (AWS) den Auftragge- 
bern in die Tiefen seines Cloud-Betriebs 
Einblick zu gewähren oder die Weigerung 
von Google die Algorithmen ihrer Such- 
maschine offenzulegen. 

Die EU versucht mit ihrer Digital- 
strategie über Regulierungen normativ 
die Hoheit über die Datenverarbeitung 
wiederherzustellen und parallel dazu 
europäische Alternativen insbesondere 
zu US-amerikanischen Angeboten zu 
entwickeln und zu etablieren. Die ak- 
tuellen Abhängigkeiten sind gewaltig: 
90% der europäischen Daten werden 
in Clouddiensten von US-Konzernen 
geführt.“ Europäische Kooperationen 


mit US-Anbietern müssen nicht ausge- 
schlossen sein, doch sollte dabei eine 
gleiche Augenhöhe bestehen. 

Wirtschaftsrechtliche Grundsätze las- 
sen sich auf den digitalen Grundrechts- 
schutzes übertragen: So sind Monopole 
Gift für Grundrechte; Pluralität und ein 
vielfältiges Angebot sind förderlich. 
Dies gilt erst recht, wenn der Nachweis 
von Grundrechtskonformität zu einer 
Voraussetzung für den Marktzugang ge- 
macht wird. Mit dem Digital Markets Act 
und dem Digital Services Act versucht 
die EU diese Erkenntnis in die Realität 
umzusetzen. 

Die Rolle der USA ist eine besondere. 
Mit der Regierung Trumps wurde Europa 
signalisiert, dass Wertegemeinsamkei- 
ten mit der US-Politik nicht selbstver- 
ständlich sind. Insofern muss es ein 
Ziel Europas sein Souveränität auch 
gegenüber den USA zu erlangen. Dieses 
Bewusstsein ist insofern in Europa noch 
entwicklungsfähig und -bedürftig. Zu- 
gleich sollte Europa seine Bemühungen 
verstärken hinsichtlich der Umsetzung 
digitaler Grundrechte Gemeinsamkeiten 
mit den USA herzustellen. Angesichts 
des sich verstärkenden Systemgegen- 
satzes insbesondere zu China sollten die 
USA ein gesteigertes Interesse an einer 
eigenen starken Grundrechtsposition 
entwickeln und insofern mit Europa ei- 
nen Schulterschluss suchen. Dass dem 
eine äußerst immobile Verfassungslage 
in den USA entgegensteht, ist ein Hin- 
dernis, schließt diese Annäherung aber 
nicht aus. 

Die EU ist - anders als die USA - in 
Bezug auf Sanktionen gegenüber Un- 
ternehmen, die an grundrechtswidrigen 
Überwachungsaktivitäten beteiligt sind 
oder sein können, zurückhaltend. Die 
Trump-Administration setzte das Unter- 
nehmen Huawei 2019 auf eine schwar- 
ze Liste, was selbst US-Unternehmen 
daran hindert mit dem chinesischen 
Konzern Geschäfte zu machen. Dies 
gilt auch für Google als bis dahin wich- 
tigster Software-Zulieferer für Huawei- 
Smartphones.‘ Die britische Regie- 
rung unter Boris Johnson schloss sich 
an.” Für beide Politiker waren nicht 
grundrechtliche, sondern strategische 
Erwägungen ausschlaggebend. Die EU 
versucht - zurückhaltender - nur zu 
vermeiden, dass über eine Integration 
von Huawei-Produkten beim Aufbau des 
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5G-Mobilfunknetzes chinesische Über- 
wachungsschnittstellen entstehen. 
Jüngstes Beispiel für eine Sanktio- 
nierung grundrechtszerstörender Über- 
wachungssoftware ist das israelische 
Unternehmen NSO mit seinem Pegasus- 
Programm, das auch von den USA auf 
eine Sanktionsliste gesetzt wurde.‘ In 
Deutschland veranlassten Experten des 
Chaos Computer Clubs (CCC) und der 
Gesellschaft für Freiheitsrechte (GFF) 
ein Verfahren gegen Finfisher als Anbie- 
ter von Überwachungssoftware wegen 
eines Verstoßes gegen das Außenwirt- 
schaftsgesetz.‘’ Die am weitesten ge- 
hende Initiative trifft den chinesischen 
Hersteller und Weltmarktführer bei Vi- 
deoüberwachungssystemen Hikvision, 
den die USA u.a. wegen seiner Beteili- 
gung bei der Unterdrückung der Uigu- 
ren in Xingjiang auf eine Liste der „Spe- 
cial Designated Nationals and Blockes 
Personen” (SDN) setzen möchte, was 
eine direkte wie indirekte ökonomische 
Totalblockade zur Folge hätte.” 


9. Völkerrechtliche Bestrebungen 


Die Resolution zum Datenschutz- 
recht im digitalen Zeitalter in Reaktion 
auf die Veröffentlichungen von Edward 
Snowden über die weltweite Bespitze- 
lung durch die NSA und den GCHQ vom 
20.11.2013 blieb in der UNO bisher ein 
Unikat.°' Zwar ist eine verbindliche 
Fixierung von digitalen Grundrech- 
ten derzeit politisch eine Utopie. Dies 
sollte aber kein Grund sein Bemühun- 
gen in diese Richtung zu unterlassen. 
Entsprechende Initiativen zwingen die 
Regierungen sich mit den Fragen aus- 
einanderzusetzen, sich hierzu zu ver- 
halten und ablehnende Positionen zu 
begründen. Datenschutz und digitale 
Grundrechte sind ein Thema für die 
UNO, deren Aufgabe darin besteht - so- 
weit erforderlich - normative Grundla- 
gen für ein friedliches Zusammenleben 
auf unserer Welt zu gewährleisten. Dass 
eine Notwendigkeit für eine Fixierung 
digitaler Menschenrechte besteht, ist 
angesichts der oben dargestellten Ent- 
wicklungen und Konflikte offenkundig. 
Eine global übergreifende Realisierung 
eines Grundrechtestandards ist u.a. 
wegen des mittelfristig weiterhin zu 
erwartenden Widerstands von China 
und Russland unrealistisch. Regionale 
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völkerrechtliche Initiativen, etwa in La- 
teinamerika, Afrika oder im pazifischen 
Raum, haben dagegen höhere Realisie- 
rungschancen. Dies gilt insbesondere, 
wenn diese, wie ursprünglich in Europa 
beim Datenschutz, mit wirtschaftlichen 
informationellen Interessen in Verbin- 
dung gebracht werden. 

Während das Zugestehen von indivi- 
duellen Rechten bisher wenige Fürspre- 
cher findet, besteht hinsichtlich der 
Bekämpfung von Cyberkriminalität und 
des Cyber-Terrorismus eine weitgehend 
gleichgelagerte Interessenlage staatli- 
cher Regierungen. Aktivitäten hierzu 
dienen nicht nur den Individuen, son- 
dern auch der Wirtschaft und der Ver- 
waltung. Kriminelle Cyberaktivitäten 
von Privatpersonen finden aber teilwei- 
se staatliche Unterstützung oder gehen 
direkt von staatlichen Einrichtungen, 
in der Vergangenheit etwa von Israel, 
Russland und China, aus. Dies ändert 
nichts an der zumindest teilweise beste- 
henden Interessenlage und dem Bedarf 
an einer überstaatlichen Kooperation 
und Normierung, was auch dem digita- 
len Grundrechtsschutz zugutekommt. 

Die Verknüpfung von wirtschaftli- 
chen Kooperationsvereinbarungen mit 
Anforderungen an Grundrechtsschutz, 
Rechtsstaatlichkeit und Demokratie 
kann künftig ein wichtiges Instrument 
dafür sein Globalisierung menschen- 
rechtskonform zu gestalten. Dies gilt 
auch für Freihandelsabkommen, de- 
nen immer eine informationelle Kom- 
ponente zukommt.’ Entsprechende 
Anforderungen haben nicht nur eine 
Wirkung auf die ökonomischen Koope- 
rationspartner, sondern zugleich auch 
eine Schutzwirkung für die heimische, 
rechtlich gebundene grundrechtskon- 
form agierende Wirtschaft. 

Vergleichbare Vorgehensweisen bie- 
ten sich im internationalen Sicherheits- 
und Finanzbereich an. Die sicherheits- 
politische Kooperation etwa im Ver- 
kehrsbereich durch den Austausch von 
Passenger-Name-Records setzt die Wah- 
rung grundrechtlicher Standards durch 
alle eingebundenen Vertragspartner 
voraus.’ Entsprechendes gilt für Koope- 
rationen bei der Kriminalitätsbekämp- 
fung oder der Wahrung der öffentlichen 
Sicherheit.’ Eine interessante neue Va- 
riante völkerrechtlicher Sanktionierung 
von Grundrechtsverletzungen brachte 


der Ausschluss russischer Banken vom 
Finanzdatenaustausch gemäß dem 
SWIFT-Abkommen nach dem russischen 
Einfall in die Ukraine. 

Flankierend zu völkerrechtlichen 
Bestrebungen kann der digitale Grund- 
rechtsschutz durch nationale oder 
supranationale Maßnahmen vorange- 
bracht werden. So ist es ein irritieren- 
der Umstand, dass der Whistleblower 
Edward Snowden, der sich weltweit um 
mehr Transparenz bei digitalen Grund- 
rechtsverstößen verdient gemacht hat, 
Asylin Russland suchen musste und nur 
dort finden konnte. Regelungen zum 
Whistleblowing im Interesse des Grund- 
rechtsschutzes und zum Schutz der 
Whistleblower schaffen nicht nur einen 
Rahmen für mehr Compliance im eige- 
nen Land, sondern können auch recht- 
liche Grundlagen dafür schaffen, dass 
Verstöße gegen digitale Grundrechte 
in anderen Staaten transparent werden, 
und dass Auslieferungsersuchen zu 
Whistleblowern durch Verfolgerstaaten 
rechtlich abgewehrt werden können.” 


10. Schlussbemerkung 


Digitaler Grundrechtsschutz ging 
vom Recht auf informationelle Selbst- 
bestimmung und vom Datenschutz aus, 
beschränkt sich aber schon längst nicht 
mehr hierauf. Nationale Regelungen 
waren der Anfang, inzwischen liegt der 
Schwerpunkt auf Regelungen der EU. 
Völkerrechtliche Instrumente sind noch 
rar. Angesichts der „Zeitenwende“ ist die 
Deckung dieses Bedarfs weniger abseh- 
bar als noch vor wenigen Monaten. Das 
globale Internet mit den damit verbun- 
denen Chancen auf Informationsaus- 
tausch und Kooperation droht mit au- 
toritären, die Grundrechte leugnenden 
Motiven national zerstückelt zu werden. 

Die globalen Herausforderungen etwa 
im Bereich Klima, Nahrungsversorgung 
oder Friedenswahrung sind aber auf den 
informationellen Austausch und auf 
Kooperation angewiesen. Dies macht 
globale Spielregeln dringender denn je. 
Auch wenn die Diskussionskonjunktur 
insofern wenig hergibt, ist eine Debatte 
über digitale Grundrechte auf globaler 
Ebene dringend nötig. Das sind wirnicht 
nur den Uiguren und den Menschen in 
Hongkong oder den Oppositionellen in 
Russland oder Belarus schuldig, son- 
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dern auch uns selbst in den westlichen 
Staaten, in Europa, in Deutschland. Die 
Debatte über das „Internet als rechts- 
freier Raum“ istin Europa überwunden. 
Es gibt einiges zu tun, um zu verhin- 
dern, dass dieses Phänomen uns über 
globale Entwicklungen wieder einholt. 
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Achim Klabunde 


Digitale Grundrechte im EU-Recht 


Der Europarat als Garant der 
Menschenrechte 


Während die EU und ihre Vorläuferor- 
ganisationen auf der Basis wirtschaftli- 
cher Zusammenarbeit entstanden, wa- 
ren Grundrechte und deren Sicherung 
und Durchsetzung in Europa von An- 
fang an zentral für die andere überstaat- 
liche europäische Organisation, den 
Europarat (Conseil d’Europe, Council of 
Europe). Der Europarat, dem außer den 
EU-Mitgliedsstaaten noch viele weitere 
europäische Länder angehören, wurde 
bereits 1949 gegründet. Im Rahmen 
des Europarats wurde die europäische 
Menschenrechtskonvention (EMRK) 
verhandelt und 1950 beschlossen, die 
inzwischen von allen Mitgliedsstaaten 
des Europarates ratifiziert wurde. 

Die EMRK legt die Menschenrechte 
fest, an die sich die Unterzeichnerstaa- 
ten binden, und etabliert den Europäi- 
schen Gerichtshof für Menschenrechte 
(EGMR), der darüber urteilt, ob Mit- 
gliedsstaaten ihre Verpflichtungen nach 
der EMRK einhalten. Grundsätzlich kön- 
nen sich alle Betroffenen an den EGMR 
wenden, wenn sie glauben, dass ihre 
Rechte durch einen Mitgliedsstaat ver- 
letzt wurden. Sitz des EGMR und der an- 
deren Organe des Europarats ist Straß- 
burg. 


Entstehung der EU als Wirtschaftsge- 
meinschaft 


Die heutige Europäische Union ent- 
stand aus den Europäischen Gemein- 
schaften, die zunächst wirtschaftspo- 
litische Ziele verfolgten, insbesondere 
die Europäische Gemeinschaft für Kohle 
und Stahl (EGKS, Montanunion) und 
die durch die Römischen Verträge von 
1957 gegründete Europäische Wirt- 
schaftsgemeinschaft (EWG). Da der Fo- 
kus der Zusammenarbeit zunächst auf 
wirtschaftliche Aktivitäten gerichtet 
war und letztlich das Ziel eines einheit- 
lichen Binnenmarktes über alle Mit- 
gliedsstaaten verfolgte, standen Fragen 
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der Grundrechte ursprünglich nicht im 
Fokus des Rechtsrahmens. 

Durch den Vertrag von Maastricht 
wurden 1993 die verschiedenen wirt- 
schaftlichen Verträge zusammengefasst 
zum Vertrag über die Europäischen Ge- 
meinschaften und so die Grundlagen 
für die Europäische Wirtschafts- und 
Währungsunion mit dem Euro als ge- 
meinsamer Währung gelegt. Zugleich 
wurde der Vertrag über die Europäische 
Union geschlossen, die zunächst aufbe- 
stimmte Aufgabenbereiche außerhalb 
der wirtschaftlichen Regelungen kon- 
zentriert war, insbesondere die Zusam- 
menarbeit in den Bereichen Inneres und 
Justiz und die Gemeinsame Außen- und 
Sicherheitspolitik (GASP). 

Als bisher letzter Schritt der Entwick- 
lung führte der Vertrag von Lissabon 
2009 die Europäischen Gemeinschaften 
und die Europäische Union des Vertrags 
von Maastricht als einheitliche Organi- 
sation zusammen, unter dem Namen Eu- 
ropäische Union. 


Verankerung der Grundrechte im 
EU-Recht 


Mit dem Vertrag von Lissabon wur- 
de die EMRK zum Bestandteil des EU- 
Rechts und zusätzlich ein eigener 
Grundrechtskatalog mit der Charta der 
Grundrechte der Europäischen Union 
(EU-Grundrechtecharta, EU-GRCh) als 
bindendes Recht hinzugefügt!. Damit 
sind jetzt alle Mitgliedsstaaten ebenso 
wie die Organe und anderen Behörden 
der EU bei der Anwendung des EU-Rech- 
tes auf die Einhaltung der Grundrechte 
verpflichtet. Nachdem der in Straßburg 
ansässige EGMR bereits seit Jahrzehn- 
ten über die Einhaltung der Menschen- 
rechte urteilt, kann jetzt auch der in 
Luxemburg ansässige Gerichtshof der 
Europäischen Union (Europäischer Ge- 
richtshof, EuGH) bei seinen Urteilen 
über die Interpretation und Anwen- 
dung des EU-Rechtes die Einhaltung 
von Grundrechten bewerten. Dabei ist 
der EuGH auch in der Lage Rechtsak- 


te der EU, also sowohl Richtlinien und 
Verordnungen als auch Entscheidungen 
der Kommission oder internationale 
Vereinbarungen der EU, zu überprüfen 
und bei Widerspruch zu den Grundrech- 
ten außer Kraft zu setzen. Der EuGH hat 
von dieser Möglichkeit auch Gebrauch 
gemacht und z.B. die Vorratsdatenspei- 
cherungsrichtlinie, die Safe-Harbor- 
und Privacy-Shield-Entscheidungen der 
Kommission ebenso wie internationale 
Vereinbarungen zu Fluggastdaten auf- 
gehoben. 


Grundrechte im Internet 


Datenschutz als genuin „Digitales 
Grundrecht” 


Nach dem zweiten Weltkrieg hatten 
sich die Menschenrechte entwickelt, 
ohne dass technologische Aspekte da- 
bei eine besondere Rolle spielten. Le- 
diglich der Bedeutung von Kommuni- 
kationstechniken wie Telefonie wurde 
bereits mit der Einführung des Fern- 
meldegeheimnisses als Ergänzung zum 
Postgeheimnis Rechnung getragen. 
Demgegenüber entstand Datenschutz 
als Recht und später als Grundrecht erst 
als Reaktion auf die Einführung von 
Computern in der öffentlichen Verwal- 
tung und der Wirtschaft. Auch wenn 
die Fähigkeiten der Computer in den 
1970er-Jahren noch weit hinter dem 
heutigen Stand zurück blieben, erkann- 
ten die Befürworter des Datenschutzes 
bereits vor der allgegenwärtigen Daten- 
erfassung und der weltweiten Vernet- 
zung die potentiellen Auswirkungen der 
Kontrolle über personenbezogene Daten 
auf gesellschaftliche und wirtschaftli- 
che Machtstrukturen. 

Datenschutz war zunächst nicht als 
eigenständiges Grundrecht gedacht, 
sondern als Ableitung aus existierenden 
Grundrechten und als Notwendigkeit zu 
deren Sicherung. Datenschutzregeln 
entstanden zunächst in den nationalen 
Rechtssystemen. Dabei verboten viele 
Länder den Transfer von personenbe- 


ist 


zogenen Daten aus ihrem Rechtsgebiet 
hinaus, um zu verhindern, dass ihre 
Bestimmungen durch Verarbeitung im 
Ausland umgangen wurden. Da diese 
Beschränkung als Hindernis für den 
wirtschaftlichen Austausch empfun- 
den wurde, wurde versucht rechtliche 
Rahmen für grenzüberschreitenden Da- 
tenverkehr zu ermöglichen. Ein erstes 
rechtsverbindliches Instrument zu die- 
sem Zweck war die Konvention 108 des 
Europarats, die 1981 Grundprinzipien 
des Datenschutzes festlegte. Zur Durch- 
setzung ihrer Rechte aus dieser Kon- 
vention steht den Betroffenen auch der 
Rechtsweg zum EGMR offen, der auch 
bereits eine Reihe von Urteilen zum Da- 
tenschutz getroffen hat. Die Konvention 
wurde 2018 überarbeitet, um sie an die 
technischen und wirtschaftlichen Ent- 
wicklungen anzupassen und auch die 
inzwischen in Kraft getretene Daten- 
schutz-Grundverordnung (DSGVO) der 
EU zu berücksichtigen. Die Konvention 
108 ist offen für Beitritt und Ratifizie- 
rung durch Staaten, die nicht Mitglied 
des Europarats sind, und wurde bereits 
von einigen afrikanischen und südame- 
rikanischen Staaten unterzeichnet und 
ratifiziert. 

Im Recht der Europäischen Gemein- 
schaften waren Regelungen zum Daten- 
schutz zunächst Bestandteil der Regeln 
zum einheitlichen Wirtschaftsraum. 
Das erste Datenschutzinstrument, die 
Richtlinie 95/46, nennt in ihrem Titel 
zuerst den freien Fluss personenbe- 
zogener Daten innerhalb der Gemein- 
schaft und dann den Schutz natürlicher 
Personen bezüglich der Verarbeitung 
ihrer personenbezogenen Daten. For- 
melle Rechtsgrundlage der Richtlinie 
war der Artikel des EG-Vertrages über 
die Harmonisierung im Binnenmarkt. 
Erst mit dem Lissabon-Vertrag werden 
die Grundrechte ausdrücklich Bestand- 
teil des EU-Rechts, durch den Bezug 
zur EMRK und die EU-GRCh. Die Charta 
nennt in ihrem Artikel 8 auch Daten- 
schutz als eigenständiges Grundrecht, 
zusätzlich zum Recht auf Privatheit in 
Artikel 7. 


Rechtsdurchsetzung im Netz 
In der öffentlichen Diskussion wurde 


insbesondere seit der Einführung von 
Sozialen Medien häufig vom Internet als 
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„rechtsfreiem Raum“ gesprochen. Diese 
Vorstellung wurde wohl einerseits von 
den eher romantischen Vorstellungen 
vom Internet als repressionsfreier Raum 
der Selbstorganisation beeinflusst, wie 
sie etwa von US-amerikanischen Akti- 
visten entwickelt wurden. Andererseits 
wurde der Eindruck der Rechtsfreiheit 
durch dietatsächliche Schwierigkeit der 
Durchsetzung von bestehenden Geset- 
zen bei Interaktionen im Internet her- 
vorgerufen. Eigentlich sind und waren 
die bestehenden rechtlichen Vorschrif- 
ten unabhängig davon anzuwenden, ob 
eine bestimmte Transaktion ganz oder 
teilweise durch das Internet vermittelt 
wurde. Solange alle daran beteiligten 
sich im selben Rechtsgebiet befinden, 
und dies auch festgestellt werden kann, 
können die unterschiedlichen Ansprü- 
che auch mit den traditionellen Mitteln 
der Justiz durchgesetzt werden. Wenn 
aber die beteiligten Parteien in unter- 
schiedlichen Jurisdiktionen arbeiten, 
stößt die Durchsetzung des Rechts auf 
erhebliche Hindernisse. Nicht immer ist 
es möglich den Standort aller Parteien 
überhaupt sicher festzustellen. Selbst 
wenn alle Beteiligten von demokrati- 
schen Rechtsstaaten aus agieren und 
die zuständige Exekutive und Judika- 
tive bekannt sind, und sogar wenn de- 
ren Justizsysteme auch prinzipiell ge- 
genseitige Zusammenarbeit anstreben, 
können die praktischen Schwierigkei- 
ten in vielen Fällen effektive Maßnah- 
men verhindern. 

Selbst innerhalb der EU, die ja eine 
gemeinsame rechtliche Grundlage für 
einen alle Mitgliedsstaaten umfassen- 
den Binnenmarkt hat, ist es nicht im- 
mer möglich rechtlich gegen Verstöße 
vorzugehen. Dies gilt sogar im Bereich 
der Grundrechte, insbesondere bei der 
freien Meinungsäußerung. Während in 
Deutschland die Verwendung von Nazi- 
Symbolen verboten ist, sind deutsche 
Versuche ein solches Verbot auf EU- 
Ebene einzuführen bisher gescheitert. 
In vielen weiteren Ländern gibt es keine 
Einschränkungen für solche Äußerun- 
gen im Netz. Die verschiedenen Aspekte 
der Grundrechte im Internet werden an 
anderer Stelle ausführlicher behandelt 
(Weichert, 2022?). 

Unterschiedliche Auffassungen zum 
Datenschutz verdeutlichen die Schwie- 
rigkeiten bei der Durchsetzung von 


Grundrechten im Internet in ganz be- 
sonderer Weise. Auch wenn die USA be- 
reitsin den 1970er-Jahren Datenschutz- 
prinzipien diskutierten und mit dem Fe- 
deral Privacy Act von 1974 (FPA74) als 
einer der ersten Staaten überhaupt ein 
landesweit gültiges Datenschutzgesetz 
verabschiedeten, gibt es dort bis heute 
keinen umfassenden Schutz gegen die 
aus der Verarbeitung personenbezoge- 
ner Daten erwachsenden Risiken für die 
Grundrechte der Betroffenen. FPA74 gilt 
nur für die US-amerikanische Bundes- 
verwaltung und schützt nur die Rech- 
te von „US persons“, d.h. Bürgern und 
rechtmäßigen Einwohnern der USA. So- 
fern US-Regierungen den Schutz durch 
Verwaltungsentscheidungen auf Aus- 
länder ausgedehnt haben, konnte dies 
niemals die Möglichkeit einer gericht- 
lichen Überprüfung von Datenverarbei- 
tungsvorgängen für Nicht-US-Residen- 
ten schaffen. Auch die verschiedenen 
Programme, wie etwa Safe Harbor oder 
Privacy Shield, mit denen die US-Regie- 
rungen versuchten Privatfirmen durch 
anscheinend angemessenen Daten- 
schutz den freien Fluss von personen- 
bezogenen Daten aus der EU zu ermög- 
lichen, boten den Betroffenen keine 
Rechtsmittel. Lediglich im Rahmen des 
SWIFT-Datenaustausches wurde 2016 
ein völkerrechtlicher Vertrag zwischen 
EU und USA geschlossen, in dem aus- 
nahmsweise auch EU-Bürgern Zugang 
zu US-Gerichten zur Überprüfung sie 
betreffender Entscheidungen im Zu- 
sammenhang mit der Verarbeitung per- 
sonenbezogener Daten gewährt wird. 
Mit der DSGVO hat die Europäische 
Union zum einen festgelegt, dass die 
EU-Datenschutzregeln unabhängig 
vom Standort der Verantwortlichen 
anzuwenden sind, wenn personenbe- 
zogene Daten von Personen innerhalb 
der EU verarbeitet werden, wenn ihnen 
Dienste oder Produkte angeboten wer- 
den oder wenn ihr Verhalten innerhalb 
der EU überwacht wird. Zum anderen 
sollen die Sanktionen der DSGVO auch 
gegen Verantwortliche außerhalb der 
EU durchgesetzt werden. Allerdings 
haben sich die meisten großen aus- 
ländischen Unternehmen für die Er- 
richtung von Niederlassungen in der 
EU entschieden, die dann in den Be- 
schwerde- und Durchsetzungsverfah- 
ren als Verantwortliche gelten und ge- 
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gebenenfalls Adressaten der Maßnah- 
men der Aufsichtsbehörden sind. 

Auch in den neuen Regelungen für 
den Digitalsektor, insbesondere dem 
Gesetz über Digitale Dienste (Digital 
Services Act, DSA), ist die Geltung der 
EU-Regeln auch für nicht in der EU an- 
sässige Unternehmen vorgesehen, so- 
fern sie in der EU tätig sind. Zum DSA 
haben sich das Europaparlament und 
der EU-Ministerrat auf eine Fassung 
geeinigt, der das Parlament bereits 
zugestimmt hat. Die Zustimmung der 
Mitgliedsstaaten wird erwartet. Die 
Verordnung soll spätestens 15 Mona- 
te nach ihrer Verabschiedung in Kraft 
treten. Ein Element des DSA ist die 
Festlegung der Verantwortlichkeiten 
von Plattformbetreibern, etwa sozialen 
Medien, bezüglich der durch sie veröf- 
fentlichten Inhalte, und damit das Be- 
streben freie Meinungsäußerung zu er- 
möglichen ohne Hasspropaganda freie 
Bahn zu gewähren. 

Die Europäische Kommission erhofft 
sich durch die Digitalstrategie, die au- 
ßer dem DSA u.a. auch das Gesetz über 
Digitale Märkte (Digital Markets Act, 
DMA) umfasst, sicherlich einen globa- 
len Effekt zur Schaffung ähnlicher Re- 
geln in anderen Wirtschaftsräumen. Ein 
solcher Effekt wird in Bezug auf die DS- 
GVO beobachtet, da bereits eine ganze 
Reihe von Staaten neue Datenschutzge- 
setze verabschiedet haben, die sich am 
Modell der DSGVO orientieren. Insge- 
samt wurden Mitte März 157 Staaten mit 
Datenschutzgesetzen gezählt?. Auch in 
den USA gibt es ein Gesetzgebungsver- 
fahren für ein bundesweites umfassen- 
des Datenschutzgesetz im Kongress, das 
bereits weiter fortgeschritten ist als alle 
vorherigen Versuche und das einige we- 
sentliche Prinzipien des europäischen 
Datenschutzes in US-Recht einführen 
würde‘. 


Entwicklung von Datenschutz 
und Privatheit im europäischen 
Recht 


Rechtsprechung des EGMR und des 
EUGH 


In der Rechtsprechung des EGMR wird 
Datenschutz im Wesentlichen als Aspekt 
des Menschenrechts auf Privatheit ge- 
mäß Artikel8 der EMRKverstanden?. Da- 
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beiwird die Konvention 108, die die Prin- 
zipien des Datenschutzes genauer fest- 
legt, als Konkretisierung von Artikel 8 
der EGMR zur Privatheit aufgefasst. 
Dem EUGH steht mit Artikel 8 der 
EU Charta eine eigenständige Rechts- 
grundlage zum Datenschutz zur Verfü- 
gung. Gleichzeitig enthält auch der ei- 
gentliche EU-Vertrag eine Bestimmung 
zum Datenschutz in Artikel 16 AEUV. 
Auf dieser Basis ist der Gerichtshof in 
der Lage das Grundrecht auf Daten- 
schutz weiterzuentwickeln. Sowohl in 
der Charta als auch im Vertrag enthält 
die Bestimmung zum Datenschutz Ele- 
mente, die bisher bereits im sogenann- 
ten Sekundärrecht der EU, also den 
Richtlinien und Verordnungen, enthal- 
ten waren. Bieker‘ spricht hier von ei- 
nem „reverse engineering“-Grundrecht. 
Von der Rechtsprechung des EUGH wäre 
auch eine Interpretation zu erwarten, 
wie die nur teilweise Übernahme der 
Datenschutzprinzipien im Charta-Ar- 
tikel zu verstehen ist. Die Prinzipien 
der Fairness, der Zweckbestimmung, 
des notwendigen Rechtsgrundes für 
die Verarbeitung, des Auskunfts- und 
Berichtigungsrechtes und insbesonde- 
re die unabhängige Überwachung sind 
ausdrücklich wiedergegeben. Nicht aus- 
drücklich erwähnt sind hingegen sol- 
che Prinzipien wie Datensparsamkeit, 
zeitliche Begrenzung der Speicherung, 
Datensicherheit und die Nichtweiter- 
gabe außerhalb von Gebieten mit ange- 
messenem Datenschutz. Diese Elemente 
sind natürlich weiterhin im Sekundär- 
recht, insbesondere in der DSGVO, der 
Richtlinie über den Datenschutz bei der 
Zusammenarbeit im Bereich Justiz und 
Inneres (LED) sowie in der Verordnung 
über den Datenschutz bei den Organen 
und Behörden der EU (EDPS-VO) fest- 
gelegt und werden auch in anderen 
Rechtsinstrumenten reflektiert, die als 
Rechtsgrundlage für die Verarbeitung 
personenbezogener Daten dienen. 


Entwicklung des Digitalen Rechts 
derEU 


Die Europäische Kommission hat 
eine umfangreiche Digitalstrategie’ 
aufgesetzt, die auch zahlreiche Gesetz- 
gebungsinitiativen umfasst. In den 
Gesetzgebungsprozessen zu DSA und 
DMA haben Rat und Parlament bereits 


informell Einigung erzielt. Die formelle 
Verabschiedung steht bevor. Weiterhin 
sind u.a. Gesetzgebungsverfahren zum 
AI Act, zum Data Act und zum europä- 
ischen Datenraum im Gange, deren Er- 
gebnis auch Einfluss auf Grundrechte im 
Digitalen Raum haben wird. 

Auf der anderen Seite stehen Gesetz- 
gebungsverfahren, die direkt Grund- 
rechte betreffen. Bereits seit 2017 liegt 
ein Entwurf für eine neue ePrivacy-Ver- 
ordnung vor, die zum einen den Schutz 
der Privatsphäre bei der Kommunikation 
an die technische Entwicklung anpassen 
soll und zum anderen die Regelungen 
wieder mit dem europäischen Rechtsrah- 
men für elektronische Kommunikation in 
Einklang bringen soll, der insbesondere 
die Definition der betroffenen Dienste 
erweitert hat, so dass jetzt auch Messen- 
ger und andere nicht-traditionelle Kom- 
munikationsdienste erfasst werden. Da 
die neuen Regelungen also auch für die 
umsatzstärksten Unternehmen der Di- 
gitalbranche gelten werden, ist der Lob- 
bying-Druck außerordentlich stark und 
hat zu erheblicher Verzögerung durch 
den Widerstand im Ministerrat geführt. 
Im sogenannten informellen Trilog ver- 
handeln Parlament, Rat und Kommissi- 
on über den Vorschlag, ohne dass bisher 
eine Einigung erreicht wurde. Einigung 
erzielten die Gesetzgeber 2021 lediglich 
über eine Ausnahmeverordnung, die 
abweichend von den Pflichten der Kom- 
munikationsdienstleister den Anbietern 
von Chat-Diensten weiterhin das Durch- 
suchen der Inhalte nach möglichen An- 
zeichen für Kindesmissbrauch erlaubt. 

Die Bekämpfung von Kindesmiss- 
brauch ist auch die Begründung für 
einen Legislativvorschlag für eine weit- 
gehende Überwachung von Benutzer- 
nachrichten. Dieser Vorschlag wird zwar 
von Datenschutzbehörden und anderen 
Vertretern der Grundrechte abgelehnt, 
wird aber von der Kommission und vie- 
len Regierungen der Mitgliedsstaaten 
weiter intensiv verfolgt. 

Obwohl sie vom EUGH in mehreren 
Verfahren als grundrechtswidrig einge- 
stuft wurde, wird die Vorratsdatenspei- 
cherung von ihren Befürwortern immer 
wieder eingeführt, z. B. auch im Rah- 
men der ePrivacy-Verordnung. 

Der zivilgesellschaftliche Widerstand 
gegen die Versuche zur Einschränkung 
von Grundrechten bleibt notwendig. 
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Eine besondere Herausforderung ent- 
steht durch die militärische Konfronta- 
tion in Europa, durch die die Bedeutung 
der Cybersicherheit in der Politik erhöht 
wird. Damit wird auch der Rufnach mehr 
Überwachungs- und Eingriffsmöglich- 
keiten im digitalen Raum lauter werden. 
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Das Datenschutzgrundrecht - seit 40 Jahren unverzichtbar 


Am 15. Dezember 1983 änderte sich 
in Deutschland die Welt der Grund- 
rechte. Das Bundesverfassungsgericht 
schuf mit dem Volkszählungsurteil! das 
Grundrecht auf Datenschutz. Es war 
eine Zeitenwende. 

Das Bundesverfassungsgericht hat 
mit dieser Entscheidung die grund- 
sätzlichen Kernelemente des Rechts 
auf informationelle Selbstbestimmung 
entwickelt. Der Ausgangsfall erscheint 
rückblickend marginal. Die gesammel- 
ten Daten bezogen sich unter anderem 
auf Wohnungsgrößen, Regionen, aber 
auch auf eine zentral zu verwendende 
Personenkennziffer, die ihren Träger, 
also jeden Menschen in Deutschland, 
ein Stück gläserner machte. 

Das Bundesverfassungsgericht hat 
mit der Grundsatzentscheidung zur 
Volkszählung 1983 unmissverständlich 
erklärt, dass zum allgemeinen Persön- 
lichkeitsrecht das Recht des Einzelnen 
gehört selbst zu entscheiden, wann 
und innerhalb welcher Grenzen per- 
sönliche Lebenssachverhalte von ihm 
preisgegeben werden. Es hat die Gefah- 
ren gesehen, die dem Persönlichkeits- 
recht unter den Vorzeichen der auto- 
matisierten Datenverarbeitung drohen, 
und reklamiert, dass der Einzelne davor 
besonders geschützt werden muss. 

„Eine Gesellschaftsordnung und 
eine diese ermöglichende Rechtsord- 
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nung, in der der Bürger nicht mehr 
wissen könne, wer was wann und bei 
welcher Gelegenheit über ihn weiß, 
ist mit dem Recht auf informationel- 
le Selbstbestimmung nicht vereinbar. 
Wer unsicher sei, ob abweichende Ver- 
haltensweisen jederzeit notiert und als 
Information dauerhaft gespeichert, 
verwendet oder weitergegeben wer- 
den, werde versuchen, nicht durch sol- 
che Verhaltensweisen aufzufallen. ... 
Dies würde nicht nur die individuellen 
Entwicklungschancen des Einzelnen 
beeinträchtigen, sondern auch das Ge- 
meinwohl, weil Selbstbestimmung eine 
elementare Funktionsbedingung einer 
auf Handlungsfähigkeit und Mitwir- 
kungsfähigkeit seiner Bürger gegrün- 
deten freiheitlichen, demokratischen 
Grundordnung sei. Hieraus folge: Freie 
Entfaltung der Persönlichkeit setze 
unter den modernen Bedingungen der 
Datenverarbeitung den Schutz des ein- 
zelnen gegen unbegrenzte Erhebung, 
Speicherung, Verwendung und Weiter- 
gabe seiner persönlichen Daten voraus. 
Dieser Schutz sei daher von dem Grund- 
recht des Art. 2 Abs. 1 GG i.V. m. Art. 1 
Abs. 1 GG umfasst.” 

Das Datenschutzrecht wird also aus 
der Unantastbarkeit der Menschenwür- 
de abgeleitet, die alle staatliche Gewalt 
bindet und als objektive Wertordnung 
auch mittelbar Wirkung im Verhältnis 


der Bürger untereinander und im Ver- 
hältnis zu den Unternehmen entfaltet.? 
Das Grundrecht gewährleistet insoweit 
die Befugnis grundsätzlich selbst über 
die Preisgabe und Verwendung der per- 
sönlichen Daten zu bestimmen.’ 


Relevanz des informationellen 
Selbstbestimmungsrechts 


Ist das eine vor bald 40 Jahren ge- 
troffene Entscheidung aus einer ande- 
ren Zeit ohne heutige Relevanz? Kei- 
nesfalls. 

Damals haben die Richter voraus- 
schauend geurteilt, auch wenn die Dy- 
namik und Dimension der Digitalisie- 
rung nicht vorhersehbar war. 

Die damals aufgestellten Anforde- 
rungen an Eingriffe in das Recht aufin- 
formationelle Selbstbestimmung sind 
heute genauso aktuell, vielleicht so- 
gar noch bedeutsamer. Es geht um die 
grundgesetzlichen Freiheitsrechte, die 
die Grundlage unserer Demokratie dar- 
stellen und die durch technische Ent- 
wicklungen nicht ausgehöhlt werden 
dürfen. Ihnen liegt das Menschenbild 
des selbstbestimmten Individuums zu 
Grunde, das nicht Objekt, sondern Sub- 
jekt staatlichen und wirtschaftlichen 
Handels ist. Wenn manche IT-Firmen 
die Auffassung vertreten, das sei al- 
les eine alte Idee, die Bedeutung der 
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Rechte der Bürgerin und des Bürgers 
aus der analogen Zeit hätten sich über- 
holt, mit der neuen Technik wolle man 
eine neue Welt schaffen, die das Le- 
ben eines jeden Menschen erleichtern 
und lebenswerter machen würde und 
außerdem sei die neue digitale Welt 
nicht so schwerfällig und bürokratisch 
wie die demokratischen Abläufe, dann 
haben die Entwicklungen der letzten 
20 Jahre diese Propaganda für ein Ge- 
schäftsmodell, das weitestgehend auf 
der massenhaften gewinnträchtigen 
Vermarktung personenbezogener Da- 
ten besteht, widerlegt. 

Die rasante technologische IT-Ent- 
wicklung der Datenerfassung, -spei- 
cherung, -analyse und -verwendung 
brachte nicht nur viele Verbesserungen 
der Information und Kommunikation 
und auch neue wirtschaftliche Betäti- 
gungsfelder, sie ist auch mit einer dis- 
ruptiven Wirkung für viele Geschäfts- 
modelle, ja für jeden Bereich des Le- 
bens und Wirtschaftens verbunden. 
Und sie bietet mit den Unmengen an 
Datenerfassungen und -verknüpfun- 
gen, mit Big Data, mit selbstlernenden 
Algorithmen auf der Grundlage dieser 
Datenbasis nicht nur Möglichkeiten der 
verbesserten Prognose und natürlich 
der gezielten Werbung, sondern auch 
der personenbezogenen Profilbildung 
und der Überwachung des Verhaltens 
des Individuums. Es prägen also Chan- 
cen und Risiken diese Entwicklung. Ri- 
siken bestehen gerade hinsichtlich der 
Verletzung von Grundrechten. 

Wenn wir nicht wollen, dass schlei- 
chend durch diese technologische 
Entwicklung die fundamentalen Werte 
ausgehöhlt werden, dann brauchen wir 
den richtigen Gestaltungsrahmen, um 
Freiheit im digitalen Zeitalter so leben 
zu können, dass die Rechte des Ande- 
ren wie sein Persönlichkeitsrecht, sein 
Recht auf Schutz der Privatsphäre und 
sein informationelles Selbstbestim- 
mungsrecht vor unverhältnismäßigen 
Eingriffen geschützt werden. 

Gefordert ist der nationale und eu- 
ropäische Gesetzgeber, aber als beson- 
dere „Schutzmacht“ haben sich das 
Bundesverfassungsgericht und der 
Europäische Gerichtshof (EuGH) erwie- 
sen. Sie haben den Datenschutz und 
Persönlichkeitsrechtsschutz mit ihrer 
Rechtsprechung weiterentwickelt. 
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Grundrecht auf Gewährleistung der 
Vertraulichkeit und Integrität infor- 
mationstechnischer Systeme 


Die Entscheidung des Bundesver- 
fassungsgerichts zum Grundrecht auf 
Gewährleistung der Vertraulichkeit 
und Integrität informationstechni- 
scher Systeme ergänzt den Schutz der 
informationellen Selbstbestimmung. 
Das sog. IT-Grundrecht soll „den per- 
sönlichen und privaten Lebensbereich 
der Grundrechtsträger vor staatlichem 
Zugriff im Bereich der Informations- 
technik auch insoweit bewahren, als auf 
das informationstechnische System ins- 
gesamt zugegriffen wird und nicht nur 
auf einzelne Kommunikationsvorgänge 
oder gespeicherte Daten“.* 

Als Hauptangriffspunkt sieht das 
Bundesverfassungsgericht den heim- 
lichen Zugriff auf informationstech- 
nische Dienste, die das Internet ins- 
gesamt, Rechnernetzwerke, Personal 
Computer, elektronische Geräte und 
natürlich Mobiltelefone umfassen. Offe- 
ne Zugriffe sind aber nicht ausdrücklich 
ausgeschlossen. Es geht darum die Ver- 
traulichkeits- und Integritätserwartung 
des Benutzers und der Benutzerin zu 
schützen, die immer dann betroffen ist, 
wenn Einblicke in wesentliche Teile der 
Lebensgestaltung erfolgen.” Heimlich- 
keit ist ein Intensitätskriterium. 

Das Bundesverfassungsgericht ord- 
nete Online-Durchsuchungen in einer 
späteren Entscheidung ausdrücklich 
als Eingriff in das genannte Recht auf 
Gewährleistung der Vertraulichkeit und 
Integrität informationstechnischer Sys- 
teme ein.° Eine Online-Durchsuchung 
ist ein tiefer Eingriff in das Persön- 
lichkeitsrecht und das informationel- 
le Selbstbestimmungsrecht, denn der 
Computer enthält nicht nur Texte, son- 
dern macht das Kommunikationsverhal- 
ten des Nutzers transparent und erlaubt 
damit Einblicke in seine Gedanken, Vor- 
stellungen, in den privaten Kern seiner 
Lebensgestaltung. 

Deshalb dürfen Eingriffe nur unter 
gesteigerten Voraussetzungen ins- 
besondere zum Schutz bedeutender 
Rechtsgüter zulässig sein. Tatsächliche 
Anhaltspunkte für eine im Einzelfall 
drohende konkrete Gefahr für ein über- 
ragend wichtiges Rechtsgut müssen 
vorliegen.’ Entsprechende Maßnahmen 


sind demnach nur dann erlaubt, „wenn 
Tatsachen den Schluss auf ein wenigs- 
tens seiner Art nach konkretisiertes 
und zeitlich absehbares Geschehen zu- 
lassen und wenn erkennbar ist, dass be- 
stimmte Personen beteiligt sein werden, 
über deren Identität zumindest so viel 
bekannt ist, dass die Überwachungs- 
maßnahme gezielt gegen sie eingesetzt 
und weitgehend auf sie beschränkt 
werden kann. Ausreichend ist insoweit 
auch, wenn zwar noch nicht ein seiner 
Art nach konkretisiertes und zeitlich 
absehbares Geschehen erkennbar ist, 
jedoch das individuelle Verhalten eines 
Betroffenen eine konkrete Wahrschein- 
lichkeit begründet, dass er solche Straf- 
taten in überschaubarer Zukunft bege- 
hen wird.”® 

Eingriffe in dieses Recht sind nur auf 
Grund eines Gesetzes und unter Wah- 
rung strenger Verhältnismäßigkeitsan- 
forderungen zulässig.’ Das Bundesver- 
fassungsgericht verlangt zudem, dass 
in der gesetzlichen Grundlage bereits 
die Eingriffsschwelle definiert wird. Es 
unterscheidet dabei ausdrücklich nicht 
zwischen nachrichtendienstlichen und 
polizeilichen Eingriffsermächtigungen. 
Für beide Bereiche gelten daher gleich 
erhöhte Anforderungen an die Regelung 
des Eingriffsanlasses."" 

Mit diesen hohen Anforderungen ha- 
ben die Verfassungsrichterinnen und 
Verfassungsrichter dem Gesetzgeber 
einen engen Rahmen gesetzt, denn 
sie wissen aus leidvoller Erfahrung, 
dass sich die Sicherheitsinstitutionen 
nach ihren Vorstellungen eine mög- 
lichst weitgehende Eingriffsgrundlage 
wünschen, die für die tägliche Arbeit 
praktisch, aber nicht unbedingt grund- 
rechtskonform ist. Sie wollen Daten zu 
verschiedenen Zwecken verwenden und 
möglichst leicht vernetzen können. 
Und die Verfassungsrichter wissen, dass 
der Gesetzgeber unter Berufung auf die 
innere Sicherheit diesen Vorstellungen 
gern Priorität einräumt nach dem Motto, 
das Bundesverfassungsgericht könne 
ja später seine Bedenken formulieren, 
jetzt sei erst einmal Handeln gefordert. 
Handeln, das auch die intensive Daten- 
nutzung zum Vorgehen gegen organi- 
sierte Kriminalität, Terrorismus und Ex- 
tremismus erfordere. Gegen dieses Nar- 
rativ hat es der Datenschutz schwer. Er 
wird auf den Umgang mit personenbezo- 
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genen Daten als Information reduziert 
und das Persönlichkeitsrecht und infor- 
mationelle Selbstbestimmungsrecht der 
Betroffenen als eigentliches Schutzgut 
des Datenschutzes werden nicht ange- 
messen bewertet. Exemplarisch steht 
dafür die Antiterrordatei. 


Antiterrordatei 


Im Mittelpunkt des im Jahr 2006 in 
Kraft getretenen Antiterrordateigeset- 
zes stand die Schaffung einer gemein- 
samen Verbunddatei der Sicherheitsbe- 
hörden, die in ihrem Kern der Informa- 
tionsanbahnung diente. Nachdem der 
Erste Senat des Bundesverfassungsge- 
richts mit Urteil vom 24. April 2013"! 
mehrere Vorschriften des Gesetzes für 
unvereinbar mit dem Grundgesetz er- 
klärt hatte, änderte der Bundesgesetz- 
geber die vom Bundesverfassungsge- 
richt beanstandeten Vorschriften und 
ergänzte das Antiterrordateigesetz um 
die Vorschrift des $ 6a ATDG („Erwei- 
terte projektbezogene Datennutzung”). 
& 6a ATDG ermächtigt die Sicherheits- 
behörden erstmalig zur so bezeichneten 
erweiterten Nutzung („Data-mining“”) 
von in der Antiterrordatei gespeicher- 
ten Datenarten, und zwar - über die 
Informationsanbahnung hinaus - auch 
zur operativen Aufgabenwahrnehmung. 
& 6a ATDG gestattet damit die unmittel- 
bare Nutzung der Antiterrordatei auch 
zur Generierung neuer Erkenntnisse aus 
den Querverbindungen der gespeicher- 
ten Datensätze. Dies war bisher nur in 
Eilfällen möglich. 

Diese Regelung stellt eine Grund- 
rechtsverletzung dar. Verletzt wird 
das Grundrecht auf informationelle 
Selbstbestimmung aus Art. 2 Abs. 1 in 
Verbindung mit Art. 1 Abs. 1 GG. Sie 
genügt nicht den besonderen verfas- 
sungsrechtlichen Anforderungen der 
hypothetischen Datenneuerhebung 
(„informationelles Trennungsprinzip”). 
Aufgrund der gesteigerten Belastungs- 
wirkung einer erweiterten Nutzung ei- 
ner Verbunddatei der Polizeibehörden 
und Nachrichtendienste muss diese 
dem Schutz von besonders gewichti- 
gen Rechtsgütern dienen und auf der 
Grundlage präzise bestimmter und nor- 
menklarer Regelungen an hinreichende 
Eingriffsschwellen gebunden sein. Die- 
sen Anforderungen genügt 8 6a Abs. 2 
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Satz 1 ATDG nicht, während 8 6a ATDG 
im Übrigen diesen Erfordernissen ent- 
spricht.” Die beiden Entscheidungen 
des Bundesverfassungsgerichts zur 
Antiterrordatei zeigen, dass der Ge- 
setzgeber versucht jeden angeblichen 
verfassungsrechtlichen Spielraum zu 
nutzen.'? 

Die Formulierungen in den Entschei- 
dungen ähneln stark den Ausführungen 
des Bundesverfassungsgerichts in sei- 
nen Entscheidungen zum IT-Grundrecht 
und zur Online-Durchsuchung. Da sich 
Zugriffe auf informationstechnische 
Systeme in aller Regel der Kenntnis der 
Betroffenen entziehen sind sie grund- 
sätzlich unter den Vorbehalt einer rich- 
terlichen Anordnung zu stellen. Aus- 
drücklich führt das Bundesverfassungs- 
gericht hierzu aus: 

„Bewirkt eine heimliche Ermittlungs- 
maßnahme einen schwerwiegenden 
Grundrechtseingriff, so ist eine vor- 
beugende Kontrolle durch eine unab- 
hängige Instanz verfassungsrechtlich 
geboten, weil der Betroffene sonst un- 
geschützt bliebe. Dem Gesetzgeber ist 
allerdings bei der Gestaltung der Kon- 
trolle im Einzelnen, etwa bei der Ent- 
scheidung über die kontrollierende Stel- 
le und das anzuwendende Verfahren, 
grundsätzlich ein Regelungsspielraum 
eingeräumt. Bei einem Grundrechtsein- 
griff von besonders hohem Gewicht wie 
dem heimlichen Zugriff auf ein infor- 
mationstechnisches System reduziert 
sich der Spielraum dahingehend, dass 
die Maßnahme grundsätzlich unter den 
Vorbehalt richterlicher Anordnung zu 
stellen ist. Richter können aufgrund ih- 
rer persönlichen und sachlichen Unab- 
hängigkeit und ihrer ausschließlichen 
Bindung an das Gesetz die Rechte des 
Betroffenen im Einzelfall am besten und 
sichersten wahren [...].”"* 

Zum Schutz des Kernbereichs priva- 
ter Lebensgestaltung sind besondere 
Vorkehrungen geboten. Dieser ergibt 
sich unmittelbar aus dem unantastba- 
ren Schutz der Menschenwürde. Zu die- 
sem fordert die verfassungsgerichtliche 
Rechtsprechung, dass bei „heimlichen 
Überwachungsmaßnahmen staatlicher 
Stellen ... selbst überwiegende Inter- 
essen der Allgemeinheit einen Eingriff 
in ihn nicht rechtfertigen können [...]. 
Zur Entfaltung der Persönlichkeit im 
Kernbereich privater Lebensgestaltung 


gehört die Möglichkeit innere Vorgänge 
wie Empfindungen und Gefühle sowie 
Überlegungen, Ansichten und Erleb- 
nisse höchstpersönlicher Art ohne die 
Angst zum Ausdruck zu bringen, dass 
staatliche Stellen dies überwachen 
[-1:”° 

Deshalb soll eine Informationser- 
hebung aus diesem Bereich möglichst 
unterbleiben.'° Ist dies nicht möglich, 
muss der Gesetzgeber Sicherungen auf 
der Aus- und Verwertungsebene vorse- 
hen. Hierzu muss insbesondere sicher- 
gestellt werden, dass erhobene Daten 
mit Kernbereichsbezug unverzüglich 
gelöscht werden und eine Verwertung 
ausgeschlossen ist.'’ 

Diese verfassungsgerichtlichen Aus- 
prägungen des Datenschutzrechts ha- 
ben dessen Schutzwirkung seit 1983 er- 
weitert und sind fester Bestandteil des 
Grundrechtsschutzes. 


Die anlasslose Vorratsdaten- 
speicherung 


Die Spuren des Grundrechts auf Da- 
tenschutz seit 1983 sind also tief, aber 
längst nicht unumstritten. Dies zeigt 
sich in der unendlichen Geschichte der 
anlasslosen Vorratsdatenspeicherung 
von Telekommunikationsverbindungs- 
daten (VDS), die den deutschen und 
europäischen Gesetzgeber, die Verfas- 
sungsgerichte mehrerer Mitgliedstaa- 
ten und den EuGH immer wieder bis zum 
heutigen Tag beschäftigen. 

Der Gerichtshof der Europäischen 
Union (EuGH) ist seit einigen Jahren 
mit seinen Entscheidungen zu einem 
Verteidiger und Garant der Grundrechte 
der Bürgerinnen und Bürgerin der Euro- 
päischen Union geworden. Der anlasslo- 
sen Vorratsdatenspeicherung hat er mit 
seinen beiden Urteilen im Jahr 2014" 
und 2016"? einen deutlichen Riegel vor- 
geschoben und den Mitgliedstaaten der 
Europäischen Union (EU) die rote Karte 
gezeigt. Eigentlich sollte damit die un- 
endliche Geschichte der flächendecken- 
den, anlasslosen Speicherung von Te- 
lekommunikationsverbindungsdaten, 
die mit Verabschiedung der Richtlinie 
2006/24/EG am 15.03.2006 begann, 
endlich und endgültig beendet sein.?? 
Denn der EuGH hat unmissverständlich 
die ohne jeden Anlass und ohne eine 
Beschränkung auf einen bestimmten 
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Personenkreis gesetzlich erlaubte Da- 
tenspeicherung für ungültig und nich- 
tig erklärt, da sie gegen Art. 7 und Art. 8 
der Grundrechtecharta der EU (GRCh) 
verstößt und den Verhältnismäßigkeits- 
grundsatz nach Art. 52 Abs.1 der GRCh 
verletzt. 

Beschränkungen des Rechtes auf 
Privatheit und des Schutzes der perso- 
nenbezogenen Daten können danach 
nur dann für zulässig erachtet werden, 
wenn sie auf das absolut notwendige 
Maß begrenzt sind.?' Das ist bei der un- 
begrenzten Speicherung der Daten von 
Personen, die keinen unmittelbaren 
oder noch nicht einmal einen mittelba- 
ren Bezug zu einer Handlung haben, die 
zur Strafverfolgung Anlass gibt, nicht 
anzunehmen. Diese Massenspeicherun- 
gen sind nicht das absolut notwendige 
Instrument, denn es kann als Alterna- 
tive die durch konkrete Anhaltspunk- 
te begründete Speicherung von Daten 
einzelner Personen geben. Außerdem 
gibt es noch nicht einmal eine Ausnah- 
me für die Personen, deren Kommuni- 
kationsvorgänge nach den nationalen 
Vorschriften dem Berufsgeheimnis un- 
terliegen. Das alles hat die Gesetzgeber 
der Mitgliedstaaten nicht davon abge- 
halten an einer teilweise etwas einge- 
schränkten, aber anlasslosen Vorratsda- 
tenspeicherung festzuhalten, weil diese 
die Vertraulichkeit der Kommunikation 
gefährdende Überwachungsmaßnahme 
angeblich unverzichtbar zum Vorgehen 
gegen die organisierte Kriminalität und 
Terroristen sei. Alle Zweifelsfragen ge- 
gen die Vorratsdatenspeicherung bis 
hin zu der Behauptung, die nationalen 
Gesetze fielen nicht in die Zuständigkeit 
des Unionsrechts”, wurden mit dem Ur- 
teil des EuGH vom 21.12.2016 ausge- 
räumt. Es betraf die nationalen Gesetze 
in Schweden und im Vereinigten König- 
reich, die mittels zweier Vorabentschei- 
dungsersuchen dem EuGH vorgelegt 
wurden. Der EuGH bestätigte auch für 
die VDS-Gesetze der anderen Mitglied- 
staaten noch einmal die Anforderung, 
dass diese die Grundrechtseingriffe auf 
das „absolut Notwendige” zu begren- 
zen haben. Dies sei bei einer nationalen 
Regelung nicht gegeben, die „die allge- 
meine und unterschiedslose Vorratsda- 
tenspeicherung sämtlicher Verkehrs- 
und Standortdaten vorsieht,” weil sie 
die Vorratsdatenspeicherung zur Regel 
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macht, obwohl sie die „Ausnahme zu 
sein hat“.”? An dieser Entscheidung wird 
sich auch das deutsche „Gesetz zur Ein- 
führung einer Speicherpflicht und einer 
Höchstspeicherfrist für Verkehrsdaten 
vom 10.12.2015?“ zu messen haben, 
das am 18.12.2015 in Kraft trat. Obwohl 
diese umbenannte Vorratsdatenspei- 
cherung vielen Anforderungen des Bun- 
desverfassungsgerichts und des EuGH 
in seinem Urteil zu Digital Rights in 
Detailregelungen Rechnung zu tragen 
sucht, bleibt es bei dem Mangel, dass 
alle Nutzer anlasslos erfasst werden. Die 
konsequente Rechtsprechung des EuGH 
zu diesem Thema ist beeindruckend. 

Er hat wiederholt (z.B. Tele2 Sverige 
und Watson”, Ministerio Fiscal?‘) festge- 
stellt, dass eine präventive, allgemeine 
und unterschiedslose Vorratsspeiche- 
rung von Verkehrs- und Standortdaten 
mit europäischem Recht nicht vereinbar 
ist. Zuletzt wurde diese Rechtsprechung 
im Urteil La Quadrature du Net u.a. vom 
6. Oktober 2020’ umfassend gewürdigt, 
zusammengefasst und bestätigt. Das 
aktuellste Urteil vom 5. April 2022, 
mit dem die irischen Regelungen zur 
anlasslosen Vorratsdatenspeicherung 
gekippt wurden, bezieht sich auf diese 
gefestigte Rechtsprechung und setzt sie 
fort. Das noch anhängige Vorlagever- 
fahren des BVerwG zu den ausgesetzten 
deutschen Bestimmungen zur anlasslo- 
sen Vorratsdatenspeicherung (SpaceNet 
und Telekom Deutschland?) lässt keine 
Abweichung von der ständigen Recht- 
sprechung erwarten. In seinen Schluss- 
anträgen?’ vom 18. November 2021 weist 
der Generalanwalt Manuel Campos San- 
chez-Bordona ausdrücklich darauf hin, 
dass sich seiner Ansicht nach die Unver- 
einbarkeit der deutschen Regelungen für 
eine anlasslose, flächendeckende und 
personell, zeitlich und geografisch un- 
differenzierte Vorratsdatenspeicherung 
von Telekommunikations-Verkehrs- 
daten mit europäischem Recht schon 
aus der bisherigen Rechtsprechung des 
EuGH ergibt. 


Fazit 


Das Grundrecht auf Datenschutz er- 
freut sich großer Vitalität und hat seit 
1983 zu einer Zeitenwende geführt. Zei- 
tenwende in dem Sinn, dass die informa- 
tionelle Selbstbestimmung als Teil des 


Persönlichkeitsrechtschutzes grund- 
legend die Gesetzgebung prägt und 
zur Verabschiedung der europäischen 
Datenschutz-Grundverordnung geführt 
hat. Trotz kontroverser Positionen hat 
sie sich in bald fünfjähriger Anwendung 
(2023) bewährt. Es ist eine Zeitenwen- 
de, dass das Machtverhältnis zwischen 
der häufig marktdominanten Stellung 
der Internetgiganten einerseits und der 
negativen Freiheit in Ruhe gelassen zu 
werden’! sowie der positiven Freiheit 
Datenschutz- und Persönlichkeitsrech- 
te zu leben, neu justiert wurde, auch 
wenn die konsequente Durchsetzung 
aufwändig und schwierig ist. 

Keine Zeitenwende hat es an manchen 
grundsätzlichen Einstellungen zum Da- 
tenschutz gegeben. Nach wie vor stehen 
sich Täter- versus Opferschutz, wirt- 
schaftlicher Hemmschuh oder Wettbe- 
werbsvorteil gegenüber. Deshalb muss 
es weiter gehen. Max Schrems hat mit 
dem Safe-Harbour-Urteil des EuGH ei- 
nen wichtigen Schritt zum datenschutz- 
konformen Transfer von Daten zwischen 
Unternehmen der EU und den USA ini- 
tiiert. Nach dem gerichtlichen Schei- 
tern des Nachfolgers Privacy Shield 
müssen endlich mit Privacy Shield 2.0. 
die EuGH Vorgaben ernst genommen 
und umgesetzt werden. Ein jahrelanger 
Datenschutz-Lernprozess fände seinen 
Abschluss. 

Es geht um viel. Es geht grundsätz- 
lich darum, wie selbstbestimmt wir 
angesichts der technischen digitalen 
Entwicklungen leben können und leben 
wollen. Datenschutz ernstnehmen muss 
unter anderem auch zu mehr Transpa- 
renz der Wirkungsweise der Algorith- 
men führen. Aber am wichtigsten ist, 
dass wir als Datenträgerin und Daten- 
träger wissend und selbstbewusst mit 
unserer informationellen Selbstbestim- 
mung umgehen und Datenmissbrauch 
entgegentreten. Die Grundlage schuf 
das Volkszählungsurteil von 1983. 
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Das kirchliche Datenschutzrecht 


Die Europäische Datenschutz-Grund- 
verordnung (DSGVO) sieht für zwei 
grundrechtlich geschützte Bereiche 
- Medien und Kirchen bzw. Religions- 
gemeinschaften - Ausnahmen für ihre 
Anwendbarkeit vor. Art. 85 DSGVO er- 
möglicht es den Mitgliedsstaaten für die 
Bereiche der Freiheit der Meinungsäu- 
ßerung und der Informationsfreiheit die 
Verarbeitung personenbezogener Daten 
für journalistische und andere dort ge- 
nannte privilegierte Zwecke abweichen- 
de Regelungen zu treffen und für diese 
Bereiche auch eigene Aufsichtsstruktu- 
ren vorzusehen. Der zweite in der DSGVO 
besonders geregelte Bereich ist der Da- 
tenschutz der Kirchen und Religionsge- 
meinschaften in Art. 91 DSGVO.! 


Verfassungs- und primärrechtliche 
Grundlagen 


Das deutsche Grundgesetz schützt in 


Art. 4 GG die Religionsfreiheit. Inhal- 
te dieses Grundrechts haben in Art. 10 
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Abs. 1 GRCh ihren Eingang in die Charta 
der Grundrechte der Europäischen Uni- 
on gefunden. 

Ergänzt wird der Schutz der Religi- 
onsfreiheit aus Art. 4 GGin Deutschland 
durch Art. 140 GG, der die Bestimmun- 
gen der Regelungen der Art. 136 bis 139 
und 141 der Weimarer Reichsverfassung 
(WRV) in das Grundgesetz überführt. 
Dadurch wird eine korporative Seite der 
verfassungsrechtlichen Gewährleistung 
von Religionsfreiheit im Grundgesetz 
implementiert,? die es den Religions- 
gemeinschaften unter anderem ermög- 
licht, ihre Angelegenheiten selbststän- 
dig innerhalb der Schranken der für alle 
geltenden Gesetze zu ordnen und zu 
verwalten (Art. 140 GG i.V.m. Art. 137 
Abs. 3 WRV). 

Die DSGVO nimmt diese Rahmenbe- 
dingungen auf Grund von Art. 17 des 
Vertrages über die Arbeitsweise der 
Europäischen Union (AEUV) auf und 
setzt sie im Art. 91 DSGVO um. Art. 91 
DSGVO ermöglicht den Kirchen beste- 
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hende eigene datenschutzrechtliche 
Regelungen weiter anzuwenden, sofern 
diese mit den Regelungen der DSGVO 
in Einklang gebracht werden. Ebenso 
eröffnet Art. 91 DSGVO die Möglichkeit 
eine eigene Datenschutzaufsicht zu in- 
stallieren, die die Vorgaben des Kapi- 
tels VI der DSGVO erfüllen muss. Damit 
beachtet diese Regelung das Recht des 
Einzelnen auf den Schutz der personen- 
bezogenen Daten und gleichermaßen 
den Status der Religionsgesellschaften 
nach Art. 140 GG i.V.m. Art.137 Abs. 3 
WRV (korporative Religionsfreiheit).’ 
Der europäische Gesetzgeber er- 
möglicht es der Kirche durch die Rege- 
lung des Art. 91 DSGVO die nationalen 
staatskirchenrechtlichen Spielräume 
trotz der zentralen europäischen Geset- 
zesvorgabe weiter beizubehalten. Damit 
kommt der europäische Gesetzgeber 
den Vorgaben nach, die im Art. 17 AEUV 
festgeschrieben wurden. Nach dieser 
Vorschrift achtet die Europäische Union 
den Status, den Kirchen, religiöse Ver- 
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einigungen oder Gemeinschaften in den 
Mitgliedsstaaten nach deren Rechtsvor- 
schriften genießen, und beeinträch- 
tigt diesen Status nicht (Art. 17 Abs. 1 
AEUV). Die Vorschrift trägt der Tatsache 
Rechnung, dass das europäische Recht 
immer stärkere Auswirkungen auf die 
Kirchen hat und diese gerade in ihrem 
„Proprium“ berühren kann.* 

Art. 91 DSGVO gibt damit sowohl den 
Rahmen für das aktuelle Gesetz über 
den Kirchlichen Datenschutz (KDG) vor, 
als auch für die Einrichtung eigener Da- 
tenschutzaufsichten der katholischen 
Kirche. 


Artikel 91 DSGVO als Ausgangspunkt 
des heutigen kirchlichen Datenschutzes 


Art. 91 Abs. 1 DSGVO sieht vor, dass 
eine Kirche oder eine religiöse Vereini- 
gung oder Gemeinschaft, die in einem 
Mitgliedstaat umfassende Regeln zum 
Schutz natürlicher Personen bei der 
Verarbeitung von deren Daten zum Zeit- 
punkt des Inkrafttretens der DSGVO an- 
wendet, diese Regeln weiter anwenden 
darf, sofern diese Regeln mit der DSGVO 
in Einklang gebracht werden. 

Diese Voraussetzungen treffen auf die 
datenschutzrechtlichen Regelungen der 
katholischen Kirche in Deutschland zu.° 

Die deutschen (Erz-)Diözesen hat- 
ten schon Ende der 70er-Jahre mit der 
„Anordnung über den kirchlichen Da- 
tenschutz (KDO)” eigene kirchliche Da- 
tenschutzgesetze geschaffen.° Damit 
können sie auf eine vergleichbar lange 
Anwendung datenschutzrechtlicher Re- 
gelungen zurückblicken wie der Gesetz- 
geber des Bundesdatenschutzgesetzes. 

Das kirchliche Datenschutzrecht so- 
wohl in der katholischen Kirche als 
auch das Datenschutzgesetz der Evan- 
gelischen Kirche in Deutschland (EKD) 
wurden im Laufe der Jahre immer wie- 
der an die Entwicklungen des Bundes- 
datenschutzgesetzes angepasst. Daher 
konnten die katholische Kirche und die 
EKD zum Inkrafttreten der DSGVO im 
Mai 2016 auf umfassende Regelungen 
zurückgreifen.’ 

Sowohl die katholische als auch die 
evangelische Kirche haben vor Mai 2018 
auch den notwendigen Anpassungsbe- 
darf der im Jahr 2016 bestehenden eige- 
nen datenschutzrechtlichen Regelun- 
gen erfasst und ihre jeweiligen Gesetze 
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angepasst, so dass auch die Forderung 
des Art. 91 Abs. 1 DSGVO erfüllt wurde, 
dass die Regelungen mit der DSGVO in 
Einklang gebracht werden müssen.° 


Das Gesetz über den kirchlichen Da- 
tenschutz (KDG) 


In der katholischen Kirche liegt die 
Gesetzgebungsgewalt für kirchliche 
Gesetze grundsätzlich bei den einzel- 
nen (Erz-)Bischöfen für ihre jeweiligen 
(Erz-)Diözesen.” Für Regelungen, die 
für die Kirche in allen Ländern gelten 
sollen, liegt die Gesetzgebung beim Hei- 
ligen Stuhlin Rom. 

Das Gesetz über den kirchlichen Da- 
tenschutz (KDG) wurde daher von den 
27 Diözesanbischöfen für ihre jeweilige 
(Erz-)Diözese als Gesetz in Kraft gesetzt 
und in den entsprechenden kirchlichen 
Amtsblättern veröffentlicht. Dies ge- 
schah auf Basis einer vom Verband der 
Diözesen Deutschlands - dem Rechts- 
träger der Deutschen Bischofskonfe- 
renz - erarbeiteten Musterfassung, um 
eine einheitliche Umsetzung der daten- 
schutzrechtlichen Regelungen zu errei- 
chen.'° Ergänzend zum KDG wurde auch 
noch eine Durchführungsverordnung 
(KDG-DVO) von den einzelnen (Erz-)Di- 
özesen erlassen, die konkretisierende 
Ausführungen zum KDG enthält." 

Ein Blick in das Inhaltsverzeichnis des 
KDG (wie auch des DSG-EKD) zeigt, dass 
das Gesetz etwas kürzer ausfällt als die 
DSGVO. Hier hat der kirchliche Gesetz- 
geber die Teile der DSGVO nicht über- 
nommen, die für seinen Regelungsbe- 
reich nicht einschlägig waren. So fehlt 
beispielsweise das Kapitel über den Eu- 
ropäischen Datenschutzausschuss und 
die Zusammenarbeit der Datenschutz- 
aufsichten auf europäischer Ebene, da 
dies nicht vom kirchlichen Gesetzgeber 
- auch nicht im Sinne des In-Einklang- 
bringens - zu regeln war. 

Ein zweiter Blick auf das kirchliche 
Gesetz zeigt eine von der DSGVO ver- 
traute Gliederung des Gesetzes und 
viele Regelungen, die inhaltsgleich aus 
der DSGVO übernommen wurden. Hier 
zeigen sich für den Rechtsanwender die 
Vorteile des Einklangs der kirchlichen 
Regelungen mit der DSGVO. Der Rechts- 
anwender findet viele vertraute Rege- 
lungen und kann so auch die Kommen- 
tarliteratur zur DSGVO an vielen Stellen 


verwenden.'? Ebenso fällt bei einem 
Blick in das Gesetz auf, dass der kirch- 
liche Gesetzgeber auch die Umsetzung 
der europarechtlichen Vorgaben der DS- 
GVO in das nationale Datenschutzrecht, 
namentlich die Neufassung des Bundes- 
datenschutzgesetzes, mit in den Blick 
genommen hat. Daher sind im kirchli- 
chen Gesetz auch Fragmente von Rege- 
lungen des neuen Bundesdatenschutz- 
gesetzes zu finden. 

Da die Vorgabe des Art. 91 DSGVO aber 
gerade nicht war die DSGVO eins-zu- 
eins zu übernehmen, gibt es auch Un- 
terschiede zur DSGVO, die vor dem Hin- 
tergrund kirchlicher Besonderheiten in 
das Gesetz eingefügt wurden. 

Dabei gibt es Vorschriften, bei denen 
der Grund für die kirchenspezifische 
Regelung sofort ersichtlich ist, wie 
z.B. die Regelung des 8 2 Abs. 3 KDG, 
die daran erinnert, dass die Wahrung 
des Beicht- und Seelsorgegeheimnisses 
und anderer dort genannter Verschwie- 
genheitspflichten unberührt bleiben 
oder des $ 14 KDG-DVO, der ergänzend 
den Umgang mit personenbezogenen 
Daten, die dem Beicht- oder Seelsorge- 
geheimnis unterliegen, regelt. Auch bei 
der Begriffsdefinition der „besonderen 
Kategorien personenbezogener Daten” 
ing 4Nr. 2 KDG wird so ein Unterschied 
deutlich. Die Zugehörigkeit zu einer 
Kirche oder Religionsgemeinschaft fällt 
nicht in die Gruppe der besonderen Ka- 
tegorien personenbezogener Daten im 
kirchlichen Datenschutzgesetz (vgl. 8 4 
Nr. 2 Satz 2 KDG), da dies ein Datum ist, 
welches bei vielen Verarbeitungen per- 
sonenbezogener Daten im kirchlichen 
Bereich zwangsläufig anfällt (z.B. Ein- 
tragung in das Taufregister). 

Bei anderen Vorschriften mag die 
kirchliche Besonderheit für eine Abwei- 
chung vom Wortlaut der DSGVO nicht 
immer sofort ersichtlich sein. Hier wur- 
den teilweise Regelungsinhalte aus dem 
Vorgängergesetz, der Anordnung über 
den kirchlichen Datenschutz (KDO), 
übernommen oder versucht - im Rah- 
men des durch die DSGVO Möglichen - 
eigene Akzente zu setzen oder sprachli- 
che Anpassungen vorzunehmen. 

So erscheint das KDG bei der Einwil- 
ligung mit seinem Schriftformerforder- 
nisin 88 Abs. 2 Satz 1 KDG strenger als 
die DSGVO, die in Art. 7 Abs. 1 DSGVO 
vorgibt, dass der Verantwortliche die 
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Einwilligung nachweisen können muss. 
Inwieweit hier in der Praxis im täglichen 
Umgang mit der Einwilligung wirklich 
große Unterschiede bestehen, ist bei 
vielen Sachverhalten fraglich, da einer- 
seits 88 Abs. 2 Satz 1 KDG als Ausnahme 
von dem Schriftformerfordernis selbst 
„eine andere Form“ der Einwilligung auf 
Grund besonderer Umstände vorsieht 
und andererseits die Nachweispflicht 
der DSGVO in vielen Fällen auch zu einer 
textlichen oder schriftlichen Fassung 
der Einwilligung führt. 


Anwendungsbereich des KDG 


In den Anwendungsbereich des KDG 
sind durch 8 3 KDG alle kirchlichen Stel- 
len einbezogen, unabhängig davon, ob 
es sich um verfasst kirchliche Stellen 
(z.B. die Diözesen oder die Kirchenge- 
meinden) oder um Einrichtungen der 
Caritas handelt. Auch kirchliche Körper- 
schaften, Stiftungen, Anstalten, Werke, 
Einrichtungen und sonstige kirchliche 
Rechtsträger ohne Rücksicht auf ihre 
Rechtsform sind vom Anwendungsbe- 
reich umfasst. Damit wird deutlich, dass 
alle kirchlichen Einrichtungen, nicht 
nur der kirchliche „Kernbereich“ der 
verfassten Kirche, in den Anwendungs- 
bereich des KDG fallen. Daher gehören 
auch kirchliche Krankenhäuser, kirch- 
liche Pflegeeinrichtungen, kirchliche 
Schulen oder kirchliche Kindertages- 
stätten zu den Stellen, die das KDG an- 
wenden. 


Betriebliche Datenschutzbeauftragte 


Für den Bereich der verfassten Kirche 
(also die (Erz-)Diözesen und die Pfar- 
reien bzw. deren Zusammenschlüsse auf 
der mittleren Verwaltungsebene) sind 
nach dem KDG zwingend betriebliche 
Datenschutzbeauftragte zu benennen 
(vgl. 8 36 Abs. 1 KDG). Die anderen 
kirchlichen Stellen haben einen solchen 
gemäß & 36 Abs. 2 KDG zu benennen, 
wenn entweder mehr alszehn Personen ’° 
ständig mit der Verarbeitung personen- 
bezogener Daten beschäftigt sind oder 
die Kerntätigkeit des Verantwortlichen 
in der Durchführung von Verarbeitungs- 
vorgängen besteht, die eine umfang- 
reiche regelmäßige und systematische 
Überwachung der betroffenen Personen 
erfordern oder die Kerntätigkeit in der 


160 


umfangreichen Verarbeitung besonde- 
rer Kategorien personenbezogener Da- 
ten oder von Daten über strafrechtliche 
Verurteilungen und Straftaten gemäß 
& 12 KDG besteht. 

Die betrieblichen Datenschützer un- 
terstützen die Leitungen der Einrich- 
tungen bei der Erfüllung ihrer Pflichten 
zur Beachtung datenschutzrechtlicher 
Vorgaben und wirken auf deren Einhal- 
tung hin. Damit die Datenschutzbeauf- 
tragten ihre Aufgaben erfüllen können 
sind sie in die betrieblichen Prozesse 
und Informationsflüsse einzubinden. 
Der betriebliche Datenschutzbeauftrag- 
te genießt Kündigungsschutz nach 8 37 
Abs. 4 KDG, soweit keine außerordentli- 
che Kündigung in Betracht kommt. 


Kirchliche Datenschutzaufsichten 


Durch die umfassenden eigenen da- 
tenschutzrechtlichen Regelungen des 
KDG und des DSG-EKD im Einklang 
mit Art. 91 Abs. 1 DSGVO haben beide 
Kirchen auch die Möglichkeit gemäß 
Art. 91 Abs. 2 DSGVO eigene kirchliche 
Datenschutzaufsichten einzurichten. 
Auf katholischer Seite sind in den ein- 
zelnen (Erz-)Diözesen die Diözesanda- 
tenschutzbeauftragten als Leitungen 
der Datenschutzaufsichten bestellt 
worden (88 42 ff. KDG). Jeweils mehrere 
(Erz-)Diözesen haben von der Möglich- 
keit Gebrauch gemacht die Diözesan- 
datenschutzbeauftragten als Daten- 
schutzaufsicht auch für mehrere (Erz-) 
Diözesen zu bestellen. So haben bei- 
spielsweise die nordrhein-westfälischen 
(Erz-)Diözesen mit dem Katholischen 
Datenschutzzentrum als Körperschaft 
des öffentlichen Rechts und dem ge- 
meinsamen Diözesandatenschutzbeauf- 
tragten eine gemeinsame Datenschutz- 
aufsicht bestellt.'* 

So wie das kirchliche Datenschutz- 
recht unter den Voraussetzungen von 
Art. 91 Abs. 1 DSGVO die Anwendung 
der DSGVO verdrängt, so treten die 
kirchlichen Datenschutzaufsichten un- 
ter den Voraussetzungen des Art. 91 
Abs. 2 DSGVO an die Stelle der Landes- 
datenschutzbeauftragten für die kirch- 
lichen Einrichtungen, die dem kirch- 
lichen Datenschutz unterfallen. Dabei 
nehmen sie - ebenso wie die Landesda- 
tenschützer - die breite Aufgabenpalet- 
te einer Datenschutzaufsicht wahr. Da 


alle deutschen (Erz-)Diözesen die Mög- 
lichkeit genutzt haben eine eigene Da- 
tenschutzaufsicht zu installieren, sind 
die Diözesandatenschutzbeauftragten 
die zuständigen Aufsichten, wenn es 
zum Beispiel um datenschutzrechtliche 
Beschwerden gegen kirchliche Einrich- 
tungen geht. 

Um eine möglichst einheitliche Aus- 
legung der kirchlichen Regelungen 
zum Datenschutz durch die kirchlichen 
Aufsichten zu erreichen, stimmen sich 
die Diözesandatenschutzbeauftragten 
in der Konferenz der Diözesandaten- 
schutzbeauftragten in zentralen Fragen 
ab, fassen gemeinsame Beschlüsse und 
formulieren gemeinsame Standpunk- 
te.!° Daneben besteht ein enger Aus- 
tausch mit den Datenschutzaufsichten 
der evangelischen Kirche und den staat- 
lichen Datenschutzaufsichtsbehörden. 


Kirchliche Datenschutzgerichte 


Die DSGVO sieht vor, dass sowohl ge- 
gen Entscheidungen der Datenschutz- 
aufsicht, als auch gegen die Verant- 
wortlichen bzw. Auftragsverarbeiter 
direkt, wirksame gerichtliche Rechtsbe- 
helfe bestehen müssen (vgl. Art. 78, 79 
DSGVO). Diese Vorgabe ist mit 8 49 KDG 
bzw. 8 47 DSG-EKD in kirchliches Recht 
umgesetzt worden. "® 

Im außerkirchlichen Bereich sind für 
diese gerichtlichen Rechtsbehelfe ge- 
mäß der DSGVO die Verwaltungsgerichte 
zuständig. Im Geltungsbereich des DSG- 
EKD werden diese Streitigkeiten den 
kirchlichen Verwaltungsgerichten der 
EKD zugewiesen (vgl. 8 47 DSG-EKD). 

Da eine kirchliche Verwaltungsge- 
richtsbarkeit im Bereich der Deutschen 
Bischofskonferenz nicht besteht, hat die 
Deutsche Bischofskonferenz parallel zur 
Inkraftsetzung des KDG eine Gerichts- 
ordnung für ein kirchliches Gericht spe- 
ziell für diese Streitigkeiten erlassen. 

In der Kirchlichen Datenschutzge- 
richtsordnung (KDSGO) wird die Errich- 
tung kirchlicher Gerichte speziell für 
Streitigkeiten aus 8 49 KDG geregelt. Die 
KDSG0 sieht dabei zwei Instanzen vor. In 
der ersten Instanz entscheidet das Inter- 
diözesane Datenschutzgericht (IDSG). 
Gegen die Entscheidungen des IDSG 
kann dann die Entscheidung des Daten- 
schutzgerichts der Deutschen Bischofs- 
konferenz (DSG-DBK) beantragt werden. 
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Als Richter konnten für beide Instanzen 
Professoren, Richter und andere Exper- 
tinnen und Experten mit langjähriger Er- 
fahrung im Datenschutz gewonnen wer- 
den, die einehohe Qualität der Arbeit des 
Gerichtes sicherstellen. Entscheidungen 
der Gerichte werden teilweise auf der 
Seite der Deutschen Bischofskonferenz 
veröffentlicht.!’ 


Fazit 


Die katholische Kirche in Deutsch- 
land hat - ebenso wie die Evangelische 
Kirche in Deutschland - die Anforde- 
rungen des Art. 91 DSGVO mit der Neu- 
fassung des kirchlichen Datenschutzge- 
setzes vor dem 25. Mai 2018 erfüllt und 
dazu eigene Datenschutzaufsichten 
eingerichtet, die die in Kapitel VI der 
DSGVO niedergelegten Bedingungen er- 
füllen. Die gerichtliche Überprüfung er- 
folgt durch die speziell dafür auf Ebene 
der Deutschen Bischofkonferenz einge- 
richteten Gerichte in Datenschutzange- 
legenheiten. 


1 Der Beitrag betrachtet die von den (Erz-) 
Diözesen in Deutschland jeweils auf 
Basis des Musterentwurfes des Gesetzes 
über den Kirchlichen Datenschutz 
(KDG) in der Fassung des einstimmigen 
Beschlusses der Vollversammlung 
des Verbandes der Diözesen Deutsch- 
lands vom 20. November 2017 in Kraft 
gesetzten Datenschutzgesetze. Diese 
Betrachtung wird ergänzt um Verweise 
auf das Kirchengesetz über den Da- 
tenschutz der Evangelischen Kirche in 
Deutschland (EKD-Datenschutzgesetz 
- DSG-EKD) vom 15. November 2017. 
Datenschutzrechtliche Regelungen 
anderer Kirchen oder Religionsge- 
meinschaften in Deutschland oder in 
anderen europäischen Ländern konn- 
ten in diesem Beitrag nicht betrachtet 
werden. Hinweise auf weitere kirchliche 
Datenschutzgesetze (ohne Anspruch auf 
Vollständigkeit) sammelt beispielsweise 
Felix Neumann in seinem Blog: https:// 
artikel91.eu/rechtssammlung/. 


2 Siehe hierzu auch Hense, Art. 91 
Datenschutz-Grundverordnung und das 
kirchliche Selbstbestimmungsrecht, in: 
Pau (Hrsg.), Kirchlicher Datenschutz 
- gewachsener Baustein kirchlicher 
Selbstverwaltung, Katholisches Daten- 
schutzzentrum, Dortmund 2021, 5. 35 ff. 
(online abrufbar). 


3 Hense in: Sydow, Europäische Daten- 
schutzgrundverordnung, 2. Aufl. 2018, 
Art. 91, Rn. 1 mit weiteren Erläute- 
rungen. 


DANA ® Datenschutz Nachrichten 3/2022 


4 Vogl. dazu Streinz in: Streinz, EUV/AEUV, 
3. Aufl. 2018, Art. 17 AEUV, Rn. 7 ff. 
und 12. 


5 Dies gilt ebenso für die Regelungen der 
EKD zum Datenschutz. 


6 Zur Entwicklung des kirchlichen Daten- 
schutzrechts vgl. Pau, Kirchlicher Daten- 
schutz von den Anfängen bis zum KDG, 
in: Pau (Hrsq.), Kirchlicher Datenschutz 
- gewachsener Baustein kirchlicher 
Selbstverwaltung, Katholisches Daten- 
schutzzentrum, Dortmund 2021, 

S. 51 ff. (online abrufbar). Das Daten- 
schutzgesetz der EKD hat eine vergleich- 
bare Entwicklung genommen. 


7 Hense in: Sydow, Europäische Daten- 
schutzgrundverordnung, 2. Aufl. 2018, 
Art. 91, Rn. 19; Jacob in: Auernhammer, 
DSGVO BDSG, 7. Aufl. 2020, Art. 91, 

Rn. 12. 


8 Herbstin: Kühling/Buchner, DS-GVO 
BDSG, 3. Aufl. 2020, Art. 91, Rn. 15a; 
Jacob in: Auernhammer, DSGVO BDSG, 
7. Aufl. 2020, Art. 91Rn. 13. 


9 Aufeinige Besonderheiten - z.B. für die 
Ordensgemeinschaften päpstlichen Rechts 
- wird hier nicht näher eingegangen. 


10 Die Musterfassung ist abrufbar als Teil 
der Arbeitshilfe Nr. 320 auf der Seite 
https://www.dbk.de/themen/kirche- 
staat-und-recht/datenschutz-faq der 
Deutschen Bischofskonferenz. In der 
Arbeitshilfe ist auch eine Übersicht der 
Fundstellen der Veröffentlichungen 
des KDG in den Amtsblättern der (Erz-) 
Diözesen enthalten. 


11 Der Mustertext der KDG-DVO ist ebenfalls 
in der Arbeitshilfe Nr. 320 der Deutschen 
Bischofskonferenz (siehe En. 10) enthal- 
ten. 


12 Für das KDG liegt auch eine eigene 
Kommentierung vor: Sydow, Kirchliches 
Datenschutzrecht, Baden-Baden 2021. 
Für das DSG-EKD ist eine Kommentierung 
in Vorbereitung. 


13 Der kirchliche Gesetzgeber hat die 
Änderung des $ 38 Abs. 1 BDSG mit der 
Anhebung der Schwelle zur verpflichten- 
den Benennung eines betrieblichen Da- 
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tenschutzbeauftragten auf 20 Personen 
noch nicht nachvollzogen. Ob dies im 
Rahmen der derzeit laufenden Evaluie- 
rung des kirchlichen Gesetzes angedacht 
wird, ist noch nicht bekannt. 


14 Die 27 (Erz-)Diözesen haben fünf 
gemeinsame Datenschutzaufsichten 
bestellt mit Sitzen in Bremen, Schöne- 
beck, Dortmund, Frankfurt am Main 
und München. Daneben gibt es eine 
gemeinsame Datenschutzaufsicht für 
die Ordensgemeinschaften päpstlichen 
Rechts in Deutschland. Die EKD hat mit 
dem Beauftragten für den Datenschutz 
mit dem Hauptsitz in Hannover und vier 
Außenstellen eine Datenschutzaufsicht 
eingerichtet, der sich die überwiegende 
Mehrzahl der Landeskirchen und Diako- 
nischen Werke angeschlossen haben. 


15 Die Beschlüsse sind über die Internet- 
seiten der kirchlichen Datenschutz- 
aufsichten abrufbar, z.B. unter www. 
katholisches-datenschutzzentrum.dein 
der Rubrik Infothek. 


16 Während 8 47 DSG-EKD zumindest 
teilweise noch ein Vorverfahren fordert, 
verzichtet das KDG auf die Durchführung 
eines Vorverfahrens. 


17 Unter der Adresse https://www.dbk.de/ 
themen/kirche-staat-und-recht/ 
kirchliche-gerichte-in- 
datenschutzangelegenheiten/ sind wei- 
tere Informationen zu beiden Instanzen 
abrufbar, u.a. auch die Entscheidungen. 
Eine erste Betrachtung der Arbeit des Ge- 
richtes enthält Sydow, Die Datenschutz- 
gerichte der katholischen Kirche - erste 
Erfahrungen und Perspektiven, in: Pau 
(Hısg.), Ein Jahr Gesetz über den Kirch- 
lichen Datenschutz (KDG) - Rückblick 
und Ausblick, Katholisches Datenschutz- 
zentrum, Dortmund 2020, 5. 53 ff. (on- 
line abrufbar). Eine Übersicht über die 
ersten veröffentlichten Entscheidungen 
enthält der Beitrag von Joachimski/Mel- 
zow, Die kirchliche Datenschutzgerichts- 
barkeit, in: Pau (Hrsg.), Kirchlicher 
Datenschutz - gewachsener Baustein 
kirchlicher Selbstverwaltung, Katho- 
lisches Datenschutzzentrum, Dortmund 
2021, S. 91 ff. (online abrufbar). 


St. Ivo Helory von Kermatin - Schutzpatron der 
Datenschützer. Bild: Wikipedia - gemeinfrei 
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Heinz Alenfelder 


Die Entwicklung einer Smart City - 
Im Fokus: Bürgerbeteiligung 


Nach aktuellen Vorhersagen! werdenin 
der Mitte dieses Jahrhunderts über zwei 
Drittel der Menschheit in Städten leben. 
Die damit einhergehenden Herausforde- 
rungen sollen - vor allem nach Vorstel- 
lungen der großen Technologiekonzerne 
- mit dem Konzept der Smart City gelöst 
werden. Meist laufen diese Vorstellungen 
auf eine Totalvernetzung im sogenann- 
ten Internet of Things hinaus: Sensoren, 
Kleinstcomputer und Mobilgeräte liefern 
Unmengen von Daten, die in der Cloud 
ausgewertet und zur „smarten” Steue- 
rung des gesamten städtischen Lebens 
verwendet werden können. Anlässlich 
der Verleihung des BigBrotherAwards in 
der Kategorie PR und Marketing an das 
Konzept Smart City formulierte die Lau- 
datorin Rena Tangens 2018: „Eine Smart 
City ist die perfekte Verbindung des tota- 
litären Überwachungsstaates aus George 
Orwells 1984 und den normierten, nur 
scheinbar freien Konsumenten in Aldous 
Huxleys Schöne Neue Welt”?. In diesem 
Beitrag werden einige Ratgeber zur Ent- 
wicklung einer Stadt zur Smart City unter 
dem Blickwinkel der demokratischen Be- 
teiligungsrechte und der Beachtung der 
Grundrechte betrachtet. Auf die speziel- 
le Datenschutzproblematik geht Astrid 
Donaubauer-Grobner in dem folgenden 
Artikel ein. 

Das Bundesministerium für Woh- 
nen, Stadtentwicklung und Bauwesen 
hat mit www.smart-city-dialog.de eine 
Plattform geschaffen, die helfen soll 
„Smart Cities gemeinsam im Dialog zwi- 
schen Politik, Verwaltung, Wirtschaft, 
Wissenschaft und Zivilgesellschaft zu 
gestalten“. Konkret zuständig ist das 
Bundesinstitut für Bau-, Stadt- und 
Raumforschung (BBSR) im Bundesamt 
für Bauwesen und Raumordnung (BBR). 
Seit 2016 werden in dem Dialog-Projekt 
Leitlinien und Handlungsempfehlungen 
entwickelt, die zur Smart City Charta? 
führten, mit der es Kommunen ermög- 
licht werden soll „die Digitalisierung 
aktiv und zielgerichtet zu gestalten.” 
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Um die Ziele der Charta zu konkreti- 
sieren haben Tristan Fuhrmann, Paul 
Böttcher und Kathrin Bimesdörfer von 
der ifok GmbH im Herbst 2021 „Daten- 
strategien für die gemeinwohlorien- 
tierte Stadtentwicklung” beschrieben. 
Neben Kompetenzzentren empfehlen 
sie Digitallotsen und „Datenbeiräte mit 
Mitgliedern aus der Zivilgesellschaft“. 
Anhand von „gemeinsam festgelegten 
Grundwerten und Prinzipien” sollen 
beim Umgang mit personenbezoge- 
nen Daten auch Datenschutz und in- 
formationelle Selbstbestimmung si- 
chergestellt werden. Interessant an 
den Empfehlungen ist, dass die zu 
entwickelnden Prinzipien „über die 
notwendige Kenntnis und Einhaltung 
bestehender gesetzlicher Vorgaben hi- 
nausgehen” und vor allem die Bereiche 
berücksichtigen sollen, die noch nicht 
reglementiert sind. Zu den Themen 
„Datenethik“, „Datenschutz und infor- 
mationelle Selbstbestimmung” sowie 
„Datensicherheit“ und „Datenverant- 
wortung” werden konkrete Handlungs- 
empfehlungen gegeben. Ein Beispiel: 
„Städte und Landkreise sollten als 
Datenschutz-Vorreiter auch neue Kon- 
zepte zur Stärkung des Grundrechts 
auf informationelle Selbstbestimmung 
erproben.” Oder auch die folgende 
Aussage, der uneingeschränkt zu- 
zustimmen ist: „Durch die Nutzung 
datenbasierter Anwendungen in der 
Smart City dürfen keine Gefahren für 
die Grundrechte, die Sicherheit, die 
Freiheitsrechte und die Privatsphäre 
der Menschen entstehen.” 

Aus weiteren Modellprojekten des 
BBSR werden dann auch Anregungen 
entwickelt, die sich auf die Bürgerbe- 
teiligung konzentrieren. So in einem 
Erfahrungsbericht?, in dem beispiels- 
weise bezogen auf Wilhelmshaven das 
Fazit gezogen wird: „Neben der Betei- 
ligung von Expertinnen und Experten 
wird die Beteiligung von Bürgerinnen 
und Bürgern sowie gesellschaftlichen 


und sozialen Einrichtungen als wichti- 
ge Grundlage für die Entwicklung von 
bedarfsorientierten Lösungen vor Ort 
angesehen.” Wie eine solche Einbin- 
dung funktionieren kann, untersuchte 
bereits 2017, d.h. vor dem Schub, den 
die Corona-Pandemie der Digitalisie- 
rung verpasste, eine Studie zum Einsatz 
webbasierter Medien in der Stadtent- 
wicklung‘ und kam dabei zu sieben Er- 
kenntnissen: 

« Die untersuchten Akteure und Akteu- 
rinnen setzen neben Online-Formaten 
auch Bürgerversammlungen ein, um 
eine größere Beteiligung zu errei- 
chen. 

Stadtverwaltungen tun sich schwerer 
beim Einsatz Sozialer Medien als zivil- 
gesellschaftliche Gruppen. 

Die Möglichkeiten des Einsatzes web- 
basierter Medien sind für öffentliche 
Stellen durch stärkere Regulierungen 
eingeschränkt. 

Neue „intermediäre Akteure” nehmen 
selbst erheblichen Einfluss auf die 
Ausgestaltung der Partizipation. 

Das Vertrauen in die Verwaltung kann 
durch die mit webbasierten Medien 
geschaffene Transparenz gestärkt und 
die Akzeptanz von Entscheidungen 
erhöht werden. 

Der Einsatz webbasierter Medien in 
der Stadtentwicklung erfordert weite- 
re Ressourcen. 

Die Effizienz von Verfahren der Ver- 
waltung kann durch den Einsatz web- 
basierter Medien gesteigert werden. 


Allerdings werden am Schluss die 
„Unsichtbaren”, also Menschen mit ge- 
ringerem Bildungsstand und Einkom- 
men, weiterhin nicht erreicht und kön- 
nen sich nicht einbringen. Insofern 
etabliert sich auch hier eine Situation, 
wie sie von Kurt Vonnegut schon 1952 
in seinem Roman „Player Piano” her- 
vorragend und zukunftsweisend be- 
schrieben wurde: Eine „Kaste” von In- 
genieuren mit hohem Intelligenzquo- 
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tient betreut lediglich Maschinen, die 
die Produktion anpassen auf den von 
ihnen selbst errechneten Bedarf der 
mittlerweile weitgehend arbeitslosen 
Bevölkerung Amerikas. Die Mitglieder 
dieser Kaste wohnen auch räumlich ab- 
getrennt von der wohlhabenden Elite. 
Was damals als „Science Fiction” ver- 
marktet wurde, ist heute in der Neoli- 
beralität moderner Stadtentwicklung 
wiederzufinden. 

Der Deutsche Städtetag („Die Stimme 
der Städte”) berät seine Mitglieder mit 
einer Publikation’ dabei, wie sie die 
„Stadt der Zukunft” mit Daten gestal- 
ten sollen. Im Vordergrund steht die 
Datensouveränität beim Ausbau der 
Infrastruktur und die Frage, wie Städ- 
te sicherstellen, dass sie „die Daten 
entsprechend ihrem Selbstverständnis 
nutzen können“. Wenn auch die Rech- 
te der Bürgerinnen und Bürger eher am 
Rande betrachtet werden, so liefert die 
Handreichung doch eine recht umfas- 
sende Übersicht über die verschiede- 
nen gesetzlichen Grundlagen, ange- 
fangen von der PSI-Richtlinie ((EU) 
2019/1024) über das Informationswei- 
terverwendungsgesetz (IWG) sowie das 
Informationsfreiheitsgesetz (IFG) des 
Bundes bis zur Länderebene. Sie bie- 
tet darüber hinaus Musterregelungen 
verschiedener Städte an, wie beispiels- 
weise die Datennutzungsklauseln von 
Bonn und Münster oder per Verweis das 
Datenethik-Konzept der Stadt Ulm‘. 
Vielfältig ist außerdem die Vorstellung 
von Anwendungsfällen, die vom Ener- 
gie-Monitoring (Cottbus) über eine 
integrierte Sozialplanung (Emden) bis 
zum zentralen Geodaten-Management 
(Nürnberg) reichen. 

Eine ebenfalls große Übersicht über 
Anwendungen in 14 Smart Cities ha- 
ben Meiyi Ma und andere bereits 2019 
publiziert®. Auch aus dem Jahr 2019 
stammt der Smart-City-Atlas!° des IT- 
Branchenverbands Bitkom, in dem 
„eine strukturierte Übersicht der 50 
Vorreiterstädte in Deutschland” ge- 
geben wird. Als Schwerpunkte der 
Bürgerbeteiligung nennt das Autoren- 
team: Vernetzung von Akteuren so- 
wie die Informationsvermittlung und 
Sammlung von Ideen. Allerdings wird 
auch konstatiert, dass „die meisten 
Städte noch zurückhaltend sind, was 
den Einsatz digitaler Möglichkeiten 
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zur Bürgerbeteiligung angeht”. Dabei 
hat ein Team der Universität Kassel um 
Matthias Simon Billert im Rahmen des 
Forschungsprojekts Civitas Digitalis 
ausführliche Handlungsempfehlun- 
gen"! für die Erstellung von bürgeriniti- 
ierten Dienstleistungen formuliert, die 
zuallererst fordern: „Einbindung von 
Bürgerinnen und Bürgern als Prosu- 
menten: Sie produzieren ihre eigenen 
Dienstleistungen, die sie im Anschluss 
selbst konsumieren“. 

Schließlich entwarf Eduard Itrich im 
Auftrag des Fritz-Erler-Forums Baden- 
Württemberg (Friedrich-Ebert-Stif- 
tung) einen Ratgeber für Kommunen, 
damit diese die Digitalisierung souve- 
rän gestalten”. Der deutlich technisch 
ausgerichtete Leitfaden fordert unter 
der Überschrift „Open Community - ge- 
meinsam statt einsam” aber auch eine 
enge Zusammenarbeit eines kommuna- 
len Digitalisierungs-Beauftragten mit 
der Zivilgesellschaft, der Wirtschaft 
und benachbarten Kommunen sowie 
niedrigschwellige Beteiligungsmög- 
lichkeiten. Nötig dafür sei „eine offene 
Infrastruktur für bestmögliche Par- 
tizipationsmöglichkeiten“, denn die 
Kommune gehöre „zu den wichtigsten 
Treibern einer gemeinwohlorientier- 
ten Gestaltung der Digitalisierung”. 
Den Gedanken der Partizipation un- 
terstützte auch Volker Kefer vom VDI 
2019 beim Vorstellen einer Studie zum 
automatisierten Fahren in der Smart 
City'®: „Wir brauchen Öffentlichkeitsar- 
beit, Bürgerdialoge und Beteiligungs- 
möglichkeiten, bei denen Bürgerinnen 
und Bürger aktiv bei der Ausgestaltung 
der Mobilität in der Smart City einge- 
bunden werden [...] nur so können wir 
sicherstellen, dass die Potenziale des 
technischen Fortschritts auch allen 
zugutekommen.” 

In Bezug auf den Datenschutz bleibt 
zu hoffen, dass die Arbeit des Bun- 
desbeauftragten für den Datenschutz 
und die Informationsfreiheit, Ulrich 
Kelber, fruchtet. Er schreibt in seinem 
30. Tätigkeitsbericht für 2021’, dass er 
sich als Vorsitzender der „Internatio- 
nalen Arbeitsgruppe zum Datenschutz 
in der Technologie” für eine weiterhin 
hohe Qualität der Ergebnisse auch zum 
Thema „intelligente Stadt (‚Smart Ci- 
ties‘’) sowie Gesichtserkennungstech- 
nologie” einsetzen werde. 
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Astrid Donaubauer-Grobner 


Smart Cities und Datenschutz (in Österreich)’ 
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Smart liegt im Trend - ob es sich um 
Haushaltsgeräte, Wearables, Trans- 
portmittel und natürlich Mobiltelefone 
handelt. Diese Entwicklung verspricht - 
und hält - mehr Bequemlichkeit für die 
Endnutzer*innen durch automatische 
Koordination von Abläufen im Hinter- 
grund und ermöglicht neue Handlungs- 
spielräume. Dass im Hintergrund Daten 
über das Nutzer*innenverhalten gesam- 
melt, verwertet und oft auch zur Erstel- 
lung von Profilen verwendet werden, 
ist einem Teil der, aber keineswegs der 
gesamten Zielgruppe bewusst. Oftmals 
zeigt das Argument „man hätte nichts 
zu verbergen” fehlendes Wissen über 
den Umstand, dass Verhaltensdaten 
Individuen anfälliger für Manipulation 
werden lassen (Solove, 2007). In der 
Privatwirtschaft dient dies mehrheitlich 
dem Zweck der Kaufanimation durch 
zielgerichtete individualisierte Werbe- 
maßnahmen, die eine stärkere Wirkung 
zeigen und weniger Kosten mitsich brin- 
gen als generalisierte Massenwerbung 
(Zuboff, 2019). Daten besitzen einen 
beträchtlichen ökonomischen Wert. Die 
Forbes-Liste (Forbes, 2020) zeigt, dass 
Technologie-Giganten wie Apple, Goog- 
le, Microsoft, Amazon und Facebook, 
deren Produkte und Dienstleistungen 
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große Mengen an Nutzer*innendaten 
generieren, die einst mächtigen Ölkon- 
zerne von der Spitze der umsatzstärks- 
ten Unternehmen vertrieben haben. Da- 
ten sind mittlerweile ein Rohstoff, das 
daraus gewonnene Produkt ist die Ver- 
haltensmodifikation der Nutzer*innen 
(Zuboff, 2019). 

Dieser Trend erstreckt sich allerdings 
über privatwirtschaftliche Aktivitäten 
hinweg auch auf Staaten. Denn basie- 
rend auf vergangenheitsbezogenen in- 
dividuellen, digitalen Daten lassen sich 
Vorhersagen machen und diese können 
auch für die Modifikation von zukünf- 
tigem Verhalten herangezogen werden 
(Zuboff, 2019). Smart Cities sind die 
Kerbe, in die Länder in unterschiedli- 
chem Ausmaß je nach rechtlicher Lage 
und finanziellen Möglichkeiten schla- 
gen. Auch hier ist das Sammeln von 
Daten und deren Verarbeitung ein kri- 
tisches Thema, das die Grundrechte der 
Bürger*innen und in der Folge die Auf- 
rechterhaltung demokratischer Prinzi- 
pien betrifft. Dies bezieht sich speziell 
auf die bereits erwähnten Möglichkei- 
ten zu Verhaltensmanipulationen, die 
mit Blick auf das internationale politi- 
sche Parkett speziell mit zwei prominen- 
ten Beispielen in Verbindung gebracht 


werden: der Wahl von Donald Trump in 
den USA und dem Brexit (Ausstieg des 
UK aus derEU). 

Dies war speziell durch die gezielte 
Nutzung von sozialen Medien möglich. 
Hier lässt sich nun die Brücke zu Smart 
City-Konzepten schlagen: Kommen zu 
diesen in der Regel freiwillig bereitge- 
stellten Daten dann noch Informatio- 
nen von Bürger*innen hinzu, die deren 
tägliches Umfeld, Bewegungsprofi- 
le, Urlaubsgewohnheiten, Stromver- 
brauchsgewohnheiten etc. beinhalten, 
lassen sich detaillierte Profile erstellen, 
die dem Staat intimere Kenntnisse über 
die Einzelperson erlauben als jedem Fa- 
milienmitglied im gleichen Haushalt. 
Die Konsequenz daraus ist eine gewis- 
se Angreifbarkeit der Bürger*innen 
gegenüber staatlichen Organen. Die 
Integrität eines politischen Appara- 
tes ist eine Momentaufnahme der zu 
jedem Zeitpunkt im Amt befindlichen 
Akteur*innen - und deren persönlicher 
Integrität. 

Dieser letzte Punkt sei speziell im Zu- 
sammenhang mit Österreich erwähnt, 
dessen politische Landschaft in den 
vergangenen Jahren (beziehungsweise 
bereits Jahrzehnten) von Korruptions- 
skandalen erschüttert wurde. Erst 2021 
führte die Enthüllung von gekauften 
Umfragen zur öffentlichen Meinung mit 
demZielderBürger*innenbeeinflussung 
zum Ende der Ära Kurz als Kanzler. Zuvor 
führte die Aufdeckung des sogenannten 
Ibiza-Skandals, der unter anderem den 
Aspekt der geplanten Steuerung der 
auflagenstärksten Zeitung Österreichs 
zugunsten der involvierten politischen 
Akteure enthielt, 2019 zum Auseinan- 
derbrechen der amtierenden Regierung 
des Landes. Wegen des Beispiels Öster- 
reichs, eines Industrielandes in Mit- 
teleuropa, eines Mitglieds der EU, wo 
Manipulation der öffentlichen Meinung 
durchaus nachweislich in höchsten po- 
litischen Kreisen betrieben wurde, ist es 
also durchaus eine berechtigte Frage, 
welche Daten einem Staat sinnvoll an- 
vertraut werden sollten. 
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Im Fall von Smart Cities allerdings ist 
Bequemlichkeit nicht das einzige Argu- 
ment, das für solch ein Konzept spricht. 
Speziell im Angesicht der Klimakrise 
wären Daten über Konsumverhalten, 
Verbrauchs- und Heizgewohnheiten, 
Mobilität und so weiter wertvolle An- 
satzpunkte, um Problemlösungsstra- 
tegien für die Herausforderungen in 
Ballungsräumen zu erarbeiten, die sich 
an der Realität orientieren anstatt auf 
vagen Annahmen zu basieren. Daraus 
ergibt sich also ein Spannungsfeld von 
Chancen und Bedrohungen. 

Zur Bewältigung dessen braucht es 
verbindliche Rahmenbedingungen, die 
die Erschaffung von Smart-City-Struk- 
turen ermöglichen ohne damit die Prin- 
zipien der Demokratie durch exzessive 
Überwachung und Missbrauch von ge- 
sammelten Bürger*innen-Daten zu ge- 
fährden. 

In Österreich ist im Jahr 2021 die ge- 
setzliche Lage zum Datenschutz durch 
die unmittelbar anwendbare Daten- 
schutz-Grundverordnung 2016/679 
(DSGVO) geprägt - und zusätzlich von 
den zahlreichen gesonderten Gesetzen, 
die nicht von der DSGVO direkt geregelt 
sind, wie z.B. Arbeitsverfassungsgesetz, 
Bundesabgabenordnung, E-Commerce- 
Gesetz, Gewerbeordnung, Meldegesetz, 
Sicherheitspolizeigesetz, Verbraucher- 
kreditgesetz. 

Was die Umsetzung der DSGVO in Ös- 
terreich betrifft, ist das Land jedoch mit 
Kritik konfrontiert. Diese richtet sich 
speziell daran, dass Öffnungsklauseln 
in der DSGVO, die den einzelnen Staaten 
in gewissen Bereichen Regelungen nach 
eigenem Ermessen ermöglichen, zur 
Abschwächung der Datenschutz-Grund- 
verordnung genutzt wurden - mit dem 
wenig subtil benannten Datenschutz- 
Deregulierungsgesetz 2018, dem Daten- 
schutzänderungsgesetz 2018 und dem 
novellierten Datenschutzgesetz. Darin 
wurde festgelegt, dass Unternehmen 
bei Erstverstößen keine empfindlichen 
Geldbußen auferlegt werden sollen, 
sondern lediglich Verwarnungen. Und 
auch, dass öffentliche Stellen sowie pri- 
vatrechtlich agierende Stellen mit ge- 
setzlichem Auftrag von der DSGVO aus- 
genommen werden sollen und damit bei 
Verstößen straffrei ausgehen. Datenrie- 
sen wie Facebook und Google mit Sitz 
außerhalb von Österreich können nur 
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unter erschwerten Bedingungen von 
Verbänden verklagt werden. Für journa- 
listische, wissenschaftliche, künstleri- 
sche oder literarische Zwecke wird der 
Datenschutz aufgeweicht. Hinsichtlich 
smarter urbaner Lebensräume gibt es 
noch zwei relevante Bestimmungen aus 
dem Datenschutz-Derequlierungsgesetz 
2018: Betroffene Personen können von 
Akteuren im staatlichen Auftrag keine 
Auskünfte erhalten, wenn dies die Er- 
füllung der übertragenen Aufgabe ge- 
fährdet. Und Bildaufnahmen sind auch 
dann zulässig, wenn ein gelinderes Mit- 
tel ebenso geeignet wäre und zur Verfü- 
gung stünde. 

In der Abstimmung zur EU-DSGVO 
2015 stimmten nur 2 von 28 Ländern 
dagegen - Österreich und Slowenien. 
Der Argumentation aus Österreich, man 
wäre wegen einer Aufweichung des ho- 
hen Datenschutzniveaus durch EU-Be- 
stimmungen besorgt, widersprechen die 
in der Folge erlassenen Gesetze zur Auf- 
lockerung der EU-Verordnung deutlich. 
Damit liegt nahe, dass die rechtliche Si- 
tuation zum Datenschutz in Österreich, 
die verstärkt auf die Bedürfnisse daten- 
getriebener privatwirtschaftlicher Un- 
ternehmen und damit weniger auf die 
Schutzbedürfnisse der Bürger*innen 
abgestimmt ist, kaum als idealer Rah- 
men für demokratisch ausgestaltete 
Smart-City-Konzepte betrachtet werden 
kann. 

Dieser kurze Umriss zeigt ein wenig 
wünschenswertes Vorgehen von staatli- 
cher Seite. Wie aber könnte ein konst- 
ruktiver, demokratiekonformer Umgang 
mit Daten und Bürger*innenrechten 
aussehen? Dazu gibt es aus den USA 
ein best-practice-Beispiel. In Zanes- 
ville, Ohio, werden in Form von Open- 
Government-Data-Initiativen Daten 
der Öffentlichkeit zugänglich gemacht 
und können als Basis für Diskurse über 
demokratische Interessen herangezo- 
gen werden. Somit sind die Daten allen 
betroffenen und interessierten Seiten 
gleichermaßen zugänglich - und kön- 
nen von diesen auch entsprechend in- 
terpretiert werden ohne der Deutungs- 
hoheit durch den Staat zu unterliegen 
(Mämecke et al., 2017). Die Offenlegung 
von Daten, sofern weder Datenschutz 
noch Sicherheit dadurch gefährdet 
werden, ermöglicht die Partizipation 
der Stadtbewohner*innen und erhöht 


die Bürger*innennähe (Walser & Haller, 
2016). Ein weiterer Aspekt im Umgang 
mit Daten ist die Frage, wer sie sammelt, 
speichert, auswertet und verteilt. So- 
cial-Media-Plattformen beispielsweise 
sind kaum vereinbar mit Datenschutz 
(Datenschutz.org, 2020) und bekämp- 
fen Auflagen zum Datenschutz, womit 
sie zum Nachteil der Nutzer*innen agie- 
ren (Constine, 2018; Scola, 2018). Da 
allerdings genau diese Daten für staat- 
liche Zwecke ebenfalls von Interesse 
sind, stärkt das die Position dieser Platt- 
formbetreiber und schwächt somit jene 
der Bürger*innen. Daraus ergibt sich, 
dass sich Datenquellen, Infrastrukturen 
und Services für Smart City-Initiativen 
(z.B. Telekommunikation, Energiever- 
sorgung, Cloud-Speicherdienste) ent- 
weder in öffentlichem Besitz, zumin- 
dest aber unter öffentlicher Kontrolle 
befinden sollten, damit den Rechten 
von Bürger*innen Vorrang vor privat- 
wirtschaftlichen Interessen eingeräumt 
wird (Walser & Haller, 2016). 

Weshalb genau ist das Sammeln, In- 
terpretieren und Verteilen gewisser 
personenbezogener Daten solch ein 
beträchtliches potentielles Risiko für 
Bürger*innen? Zusätzlich zu dem zu- 
vor bereits angesprochenen Aspekt der 
Manipulierbarkeit von Handlungen im 
Sinne von konsumbezogenen wie auch 
politischen Entscheidungen kommt die 
Tatsache hinzu, dass Aufzeichnungen 
über Handlungen diese Handlungen 
überdauern - und auch außerhalb des 
Internets Konsequenzen haben können. 
Erhalten Banken, Versicherungen oder 
mögliche Arbeitgeber Zugriff auf diese 
Daten, kann dies das Zustandekommen 
einer Geschäftsbeziehung mit der Insti- 
tution maßgeblich beeinflussen (Löw & 
Rothmann, 2016). Deshalb braucht es 
vertrauenswürdige Einrichtungen zum 
Schutz der Persönlichkeitsrechte, die 
ständig kontrollieren, ob die Systeme 
noch verlässlich sind und die Verläss- 
lichkeit gegebenenfalls wiederherstel- 
len können (Löw & Rothmann, 2016). 

Als Gegenpol zu Zanesville, Ohio, im 
Umgang mit personenbezogenen Daten 
bietet sich das Social-Credit-System 
(SCS) in China an. Dort wird durch eine 
zentrale Dateninfrastruktur Daten- 
sammlung, Data Mining und Analyse 
betrieben (Diab, 2017). Darauf aufbau- 
end wird dann das soziale Verhalten in 
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den vier Bereichen Regierungsangele- 

genheiten, Rechtliches, Soziale Akti- 

vitäten und Verbraucherverhalten be- 
wertet und als Basis für Belohnung oder 

Bestrafung herangezogen (Liang et al., 

2018). Zugang zum Wirtschafts- und 

Finanzsektor erhält nur, wer sich den 

Regeln der herrschenden Partei beugt 

(Meissner & Wübbeke, 2016). In China 

kooperieren seit 2010 rund 500 Städte 

mit IT-Unternehmen im Hinblick auf 
die Sektoren Transport, Verwaltung und 

Gesundheitssystem - und Überwachung 

durch mehr als 20 Millionen Straßenka- 

meras, mit denen nicht nur kriminel- 
le Aktivitäten dokumentiert, sondern 

Individuen mittels Gesichtserkennung 

verfolgt werden (Liang et al., 2018). 

Überwachungsmechanismen sind im 

Zeitalter von Big Data nicht mehr länger 

offensichtlich im Sinne einer gut sicht- 

baren Kamera (Tufekci, 2014), sondern 
sind speziell in China unsichtbar und 
mit Algorithmen ausgestattet, die auf 
die politischen Ziele der Regierung aus- 
gerichtet sind (Meissner & Wübbeke, 

2016). An diesem Beispiel zeigt sich, 

dass der private Sektor beim Aufbau 

weitreichender Überwachungssysteme 
unvermeidbar ist. In der Harvard Law 

Review (2018) werden Datenkonzerne 

wie Facebook, Twitter und Google als 

Überwachungs-Vermittler (surveillance 

intermediaries) bezeichnet. 

Wie lässt sich diesen düsteren Aus- 
sichten auf totale Überwachung durch 
private und staatliche Akteure ohne je- 
den Fokus auf Bürger*innenrechte oder 
demokratische Prinzipien also begeg- 
nen? Eine Option wäre der Verzicht auf 
Smart-City-Initiativen, der jedoch auch 
mit dem Verzicht auf bessere Lebens- 
qualität, verstärkte Resilienz (speziell 
in Krisenzeiten) und gesteigerte Nach- 
haltigkeit (Donaubauer-Grobner, 2021) 
einhergehen würden, da zielgerichtete 
Erfassung und Verwertung von Daten zu 
raschen und effektiven Lösungen füh- 
ren kann. Helbing (2019) spricht sich 
für folgende Maßnahmen aus, um den 
Gefahren der Grundrechtsverletzung 
durch datengetriebene Technologie zu 
begegnen: 

« Demokratische Kontrolle der Instru- 
mente durch das Parlament anstatt 
durch Kanzler/Präsident, Militär, Re- 
gierungsparteien oder Geheimdienste 

« Zugriff auf diese Systeme auch für Op- 
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positionsparteien zur Pflege pluralis- 
tischer Perspektiven 
« Einsatz dieser Instrumente mit demo- 
kratischem Mandat und auf Basis wis- 
senschaftlicher Prinzipien 
Sicherstellung ethischer 
chung 
Anonymisierung persönlicher Daten 
und Ahndung von Verletzungen der 
Privatsphäre 
Transparenz über Aufzeichnungen, 
wer das System in welcher Weise 
nutzt, mit regelmäßigen, verständli- 
chen Berichten an die Öffentlichkeit 
Möglichkeiten des Opt-out (= Ent- 
scheidung nicht teilzunehmen) zur 


Überwa- 


Sicherstellung von Informations- 
Selbstbestimmung 
« Angemessene Entschädigung von 


Opfern bei unerwünschten Nebenwir- 
kungen sozialer Experimente 

Verbot von großangelegtem Nudging 
(= mehr oder weniger subtiles Anre- 
gen von Handlungen/Verhaltenswei- 
sen; Bendel, 2019) 

Verbot von Massenüberwachung, Auf- 
hebung der Anonymisierung nur für 
kleine Personengruppen und unter 
demokratischer Kontrolle 

Fokus auf Sicherheitsaspekte mittels 
Schutz vor unbefugtem Zugriff auf 
Daten durch bessere Verschlüsselung 
Dezentrale Lagerung von Daten, so- 
dass kein Zugriff auf große Daten- 
mengen mit einem einzigen Passwort 
erfolgen kann 


Manche dieser vorgeschlagenen Maß- 
nahmen spiegeln sich auch in den Wün- 
schen von Städteplaner*innen in öster- 
reichischen Landeshauptstädten wider, 
die folgende Voraussetzungen für eine 
datenschutz- und demokratiekonforme 
sowie resilienzsteigernde Umsetzung 
von Smart-City-Projekten für erforder- 
lich halten (Donaubauer-Grobner, 2021): 
1) Informed Consent (informierte 
Zustimmung) 

Bürger*innen müssen vor Beginn ei- 
nes Smart-City-Projekts mit jenen In- 
formationen versorgt werden, dieihnen 
eine informierte Entscheidung und Teil- 
habe ermöglichen. Dazu gehört auch 
die Kommunikation von möglichen 
Nachteilen, die in der Praxis jedoch 
meist unterbleibt. 

2) Opt-out-Möglichkeiten (Verweigerung 
der Zustimmung zur Erhebung der Daten) 


Bürger*innen müssen - besonders im 
Fall von versorgenden Infrastruktur- 
leistungen wie öffentlicher Mobilität, 
Elektrizität etc. - die Möglichkeit haben 
die Preisgabe ihrer Daten zu verweigern 
ohne dadurch von der Leistung ausge- 
schlossen zu werden. 

3) Data Ownership (Eigentum an den 
erhobenen Daten) 

Smart Cities generieren große Men- 
gen an Daten, die einen klaren ökono- 
mischen Gegenwert haben und damit 
Interessenten aus dem freien Markt 
anlocken. Während die öffentliche Ver- 
waltung im Hinblick auf internationale 
Beispiele für Überwachungsstaaten als 
Gegenpol zu Bürger*inneninteressen 
betrachtet werden kann, so ist dies im 
Fall von privatwirtschaftlichen Akteu- 
ren als Eigentümer*innen der perso- 
nenbezogenen Bürger*innendaten, die 
im Zuge einer hoheitlichen Stadtent- 
wicklungsmaßnahme erhoben wurden, 
eine noch beträchtlichere Gefahr für die 
Rechte der Stadtbewohner*innen. 

4) Umsetzung des Datenschutzes 

Die DSGVO wurde auf nationa- 
ler Ebene um weitere Gesetze er- 
gänzt, die im Vergleich mit anderen 
EU-Staaten zu einer vergleichswei- 
se unternehmer*innenfreundlichen 
Rechtslage hinsichtlich des Daten- 
schutzes beitragen. Beispielsweise wur- 
de nach Ende der Übergangsfrist mit 
dem verbindlichen Inkrafttreten der DS- 
GVO in Österreich beschlossen, es möge 
primär Verwarnungen anstatt der Ver- 
hängung der beträchtlichen Geldstrafen 
bei Verstößen gegen die Datenschutz- 
bestimmungen geben. Gleichzeitig wur- 
de vom Gesetzgeber jedoch unterlassen 
Richtlinien und Orientierungsgesetze 
für Öffentliche Verwaltungen bereitzu- 
stellen, um ihnen einen datenschutz- 
und demokratiekonformen Umgang mit 
den personenbezogenen Daten ihrer 
Bürger*innen zu erleichtern. 

5) Datenminimierung und Zweck- 
bindung 

Dabei handelt es sich um zwei der 
Grundsätze des Artikel 5 (1) DSGVO, die 
sicherstellen sollen, dass Daten nicht 
entsprechend technischer Möglichkei- 
ten in großem Stil, sondern abhängig 
von dem dahinterliegenden Zweck ge- 
sammelt werden. Während für Städte 
mit großangelegten Datensammelinitia- 
tiven auch erhöhte Infrastrukturkosten 
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für die Verarbeitung und Speicherung 
dieser Daten einhergehen, ist diese 
Vorgehensweise für private Akteure we- 
niger problematisch, da Daten auf dem 
freien Markt einen gewinnbringenden 
Gegenwert haben - weshalb Datenmi- 
nimierung und Zweckbindung nicht in 
ihrem Interesse liegen und damit einen 
Konflikt mit Bürger*inneninteressen 
darstellen. 

6) Anonymisierung, Pseudonymisie- 
rung und Aggregierung 

Ist für die Zwecke einer Smart-City- 
Initiative die Erfassung personenbezo- 
gener Daten erforderlich, so sollten ge- 
eignete Maßnahmen getroffen werden, 
um den Personenbezug nicht länger als 
erforderlich zu erhalten. Im Idealfall er- 
folgt die Maßnahme bereits unmittelbar 
nach der Erfassung, sodass Erfassungs- 
instrumente bereits anonymisierte oder 
aggregierte Daten weiterleiten, bevor 
diese gespeichert werden. 

7) Politische Rahmenbedingungen 

Eine maßgebliche Rahmenbedingung 
ist die Vergabe von Fördergeldern durch 
die öffentliche Hand, da private Finan- 
zierungsmöglichkeiten in der Regel 
auch mit mehr Mitbestimmungsrecht, 
unter anderem über das Eigentum und 
die Verwendung der erhobenen per- 
sonenbezogenen Daten, einhergehen. 
Eine Veränderung der politischen Land- 
schaft der Stadt-, Landes- oder Bun- 
desregierung zugunsten anderer Frak- 
tionen kann für ein laufendes Projekt 
ebenfalls ein Versiegen der finanziellen 
Mittel zur Folge haben. Auch die unter 
4) angeführte Umsetzung des Daten- 
schutzes, die angesprochenen erforder- 
lichen rechtlichen Orientierungshilfen 
sowie das Commitment zur Miteinbezie- 
hung der Bürger*innen in Smart-City- 
Initiativen fallen unter die politischen 
Rahmenbedingungen. 

Die aktuelle Lage in Österreich im 
Bereich der Städteplanung bei Smart- 
City-Initiativen ist eine heterogene 
- allerdings nicht primär im positiven 
Sinn von bestehenden Möglichkeiten 
zur Entfaltung und kreativer Ergebnis- 
offenheit, sondern hinsichtlich feh- 
lender Rahmenbedingungen, die eine 
Orientierung ermöglichen. Das betrifft 
speziell das Verständnis zum Umgang 
mit personenbezogenen Daten und den 
Möglichkeiten dahinter (z.B. Profiling), 
die in unterschiedlichen Landeshaupt- 
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städten gelebt werden. Es gibt Verfech- 
ter beider Enden des Spektrums und na- 
türlich mehrere Nuancen dazwischen: 
Einerseits „Es ist alles erlaubt, was nicht 
explizit laut Gesetz verboten ist” - mit 
allem, was sich daraus in einem Land 
mit einem klaren Commitment zu wenig 
Auflagen für den Datenschutz ableiten 
lässt. Und auf der anderen Seite an an- 
deren Standorten die Scheu davor Pro- 
jekte in Angriff zu nehmen, weil keine 
explizite Rechtssicherheit für die ho- 
heitliche Verwendung der gesammelten 
Daten besteht und die Verletzung von 
Rechten der Bevölkerung als zu großes 
Risiko erachtet wird. Ebenso bestehen 
bei zuständigen Stellen für Smart-City- 
Projekte unterschiedliche Ansichten 
darüber, ob es einer verstärkten Regu- 
lierung durch gesetzliche Vorgaben be- 
darf, die eben Rechtssicherheit schaffen 
aber auch zwangsläufig gewisse Freihei- 
ten eindämmen würde. Derzeit basiert 
die Einschätzung der rechtlichen Lage 
und die daraus resultierende Städtepla- 
nung auf der Interpretation von Einzel- 
personen anstatt auf universell gültigen 
Rahmenbedingungen zum Schutz per- 
sonenbezogener Daten und damit zivi- 
ler Rechte. Das mag in Zukunft zu neuen 
Ausprägungen von Korruption oder feh- 
lender Städteentwicklung der Bürger 
führen und damit auch zur Wahrneh- 
mung von Lebensqualität in einzelnen 
Städten beitragen. 
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Das Thema automatische Gesichtserkennung bewegt nicht nur hierzulande die Gemüter. Das Versuchsprojekt von Bundesinnenmi- 
nisterium und Deutscher Bahn zur Gesichtserkennung am Berliner Bahnhof Südkreuzistin guter Erinnerung. Die Kampagne „Reclaim 
your face” der NGO European Digital Rights (EDRi) war ein Meilenstein des Protests gegen den Versuch diese das Persönlichkeitsrecht 
Einzelner erheblich einschränkende Technik einzuführen. Interessant ist es, dass sich in der Volksrepublik China Widerstand regt ge- 
gen die Verwendung der Gesichtserkennung durch Unternehmen. 

Lesen Sie darüber im englischsprachigen Beitrag von Frau Yu Du, Partnerin MMLC Group Lawyers & Consultants, Peking. Im 
Anschluss finden Sie eine Übersetzung, die wir mit Hilfe von deepl.com erstellt und dann so zu ändern versucht haben, dass die 


Übersetzung einigermaßen lesbar wird. 


Yu Du 


China’s First Face Recognition Case Study 


In 2019, Guo Bing, a professor of law 
at the Zhejiang Sci-Tech University, re- 
ceived atext message sentto consumers 
by Hangzhou Wildlife World Co., Ltd. 
(wildlife World), indicating that con- 
sumers would enter the park, through 
face recognition, instead of fingerprint 
recognition. After failing to negotiate 
with Wildlife World on refund ofthe an- 
nual card, Guo Bing took Wildlife World 
to court. This case is known as the "first 
case of facerecognition” in China, which 
has attracted widespread attention. 


Case History 


Guo Bing (Plaintiff) filed alawsuit with 
Hangzhou Fuyang District Court on 28 
October 2019 over the service contract 
dispute between him and Hangzhou 
Wildlife World Co., Ltd. (Defendant), re- 
questing the court to 1) invalidate the 
Defendant’s requirement on consumers’ 
entrance to the park through finger- 
print and facial recognition, 2) order 
the Defendant to return his actual card 
fee RMB1,360, 3) orderthe Defendant to 
compensate his transportation expenses 
RMB1,160 in total, 4) order the Defen- 
dant to delete all personal information 
(including but not limited to name, ID 
number, mobile phone number, photo, 
fingerprint data) submitted by the Plain- 
tiff when he applied for the annual card 
andthenusedtheannualcard, underthe 
witness ofa third-party technical agency, 
at the Defendant’s cost, and 5) order the 
Defendant to bear the litigation fee. 

The Plaintiff claimed thatthe Defendant 
compulsorilyrequired him to applyforand 
use the annual card through fingerprint 
entry, and after that, required him to re- 
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gister for face recognition, which violated 
the Consumer Rights Protection Law, and 
that the Defendant committed fraud in 
the process of providing services. Further, 
in accordance with the PRC Network Secu- 
rity Law, the Defendant’s collection and 
use of consumers’ personal information 
shall follow the principle of lawfulness, 
justification, and necessity”, and shallnot 
illegally collect and use personal informa- 
tion that is not related to its services. 

The Defendant arqued that when the 
Plaintiff applied for the annual card, the 
Defendant posted the application process, 
stating that the purpose of collecting in- 
formation was to identify the identity 
ofthe actual card holders, which should 
have been informed by the Plaintiff, es- 
pecially as a law professor specialist in 
personal information and data security, 
and based on this, the Plaintiff chose to 
agree to provide personal biometric infor- 
mation in exchange for the consumption 
discount of the annual card. The Defen- 
dant also arqued that the Plaintiff had 
actually used fingerprint identification 
to enter the park many times, and during 
the performance of the service contract, 
the Defendant upgraded the recognition 
system to a facial feature recognition sys- 
tem, in orderto solvetheproblemthatthe 
low recognition accuracy of the finger- 
print machine causedthelong queue time 
for annual card users to enter the park. 
Namely, the Defendant’s collection and 
use of personal information were imple- 
mented with the consent of the Plaintiff, 
which complied with the provisions ofthe 
Consumer Protection Law and the PRC Ci- 
vil Code. Further, the actual damage from 
the information disclosure had not yet oc- 
curred, but was just a hypothesis. 


Court Decisions 
The First Instance 


Hangzhou Fuyang District Court held 
a hearing on 15 June 2020 and issued a 
decision on 20 November 2020. The court 
considered thatthe key point ofthis case 
is the evaluation and standardization of 
business operators’ handling of consu- 
mers’ personal information, especially 
personal biometric information such as 
fingerprints and human faces, and sum- 
marized the focus of the dispute in this 
case into the following three points: 


1) The validity ofthe shop notices 
and text message notices claimed 
by Guo Bing 


The Chinese laws do not prohibit the 
collection and use of consumers’ personal 
information, but emphasize the super- 
vision and management of the process 
of personal information processing. In 
this case, Wildlife World uses fingerprint 
and face recognition, based on the fact 
that annual card users can enter the park 
unlimited times during the validity pe- 
riod, to identify the identity of annual 
card users and improve the efficiency of 
entering the park for annual card users. 
Such act itself meets the requirements of 
the three principles of “lawfulness, justi- 
fication, and necessity” stipulated by the 
Consumer Rights Protection Law. When 
Guo Bing applied forthe annual card, the 
shop notice of Wildlife World informed 
in eye-catching form that some perso- 
nal information including fingerprints of 
purchasers would be needed. Guo Bing 
decided to provide this information to be- 
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come a customer ofthe annual card. The 
content ofthe shop notice protected Guo 
Bing’s right to know about consumption 
and the right to make independent deci- 
sions about personal information, but did 
not exclude or restrict consumers’ rights, 
reduce or exempt operators’ responsibi- 
lities, or increase consumer responsibi- 
lities that are unfair and unreasonable 
to consumers, which did not constitute 
any invalidity referred to in Paragraph 3 
of Article 26 ofthe Consumer Rights Pro- 
tection Law. Therefore, the court did not 
support Guo Bing’s first claim. 

In this case, when Guo Bing and Wild- 
life World had reached an agreement to 
adopt fingerprint identification to enter 
thepark, WildlifeWorld sent GuoBing two 
text messages during the performance of 
the contract, intending to change the 
originally agreed fingerprint identifica- 
tion into the face recognition, which is 
a unilateral change ofthe contract. From 
the perspective of the conclusion of the 
contract, the content ofthe text message 
is anew offer to Guo Bing. In view ofthe 
fact that Guo Bing had clearly stated be- 
fore the lawsuit that he did not agree to 
enter the park through face recognition, 
and requested to confirm the invalidity 
ofthe two short messages by way of liti- 
gation, it should be determined that the 
aforementioned offer issued by Wildlife 
World has expired. The shop notice on 
face recognition posted by Wildlife World 
is mainly for unspecified users who newly 
apply for a card, so the shop notice has 
not become the contract clause between 
Guo Bing and Wildlife World, and has no 
legal effect on Guo Bing, namely, Guo 
Bing has no direct legal interest in the 
shop notice. His request to confirm the 
invalidity of the text message and shop 
notices involving facial recognition did 
not comply with the provisions of Item 1 
of Article 119 ofthe Civil Procedure Law, 
and accordingly was not supported by 
the court. 


2) Whether Wildlife World has 
breached the contract or fraud, and 
if so, how to determine the loss 


Regarding the breach of contract and 
compensation claimed by Guo Bing, Wild- 
life World, without any consultation with 
Guo Bing and without his consent, sent a 
text message to inform Guo Bing that he 
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would not be able to enter the park with- 
out registering face recognition. This be- 
havior is an explicit indication of non-ful- 
filment ofthe original contract. According 
to Article 108 of the Contract Law, Guo 
Bing, as the observant party, is entitled to 
request Wildlife World to assume responsi- 
bility for breach of contract before the ex- 
piry ofthe performance period, including 
the loss of contract profits (RMB678) and 
partial transportation expenses (RMB360) 
from 26 October 2019 to the expiry date of 
the contract period. 

Regarding the fraud and compensati- 
on claimed by Guo Bing, it is necessary 
and reasonable for Wildlife World to ad- 
opt differentiated inspection methods 
for different customer groups. The 
court believes that there is no evidence 
showing that Wildlife World deliberate- 
ly concealed other ways of entering the 
park to mislead Guo Bing’s consumption 
decision when applying for the card, 
so Guo Bing’s such claim lacked basis. 
Further, Wildlife World used fingerprint 
recognition technology for legitimate 
business activities, and collected and 
used fingerprint information with the 
consent of consumers. There is no evi- 
dence showing thatthistechnology and 
the tour services provided by Wildlife 
World do not meet the requirements of 
“guarantee personal and property safe- 
ty”, as referred to Paragraph 1 of Article 
5 and Paragraph 1 of Article 16 of the 
Measures for the Punishment of Violat- 
ions of Consumer Rights and Interests. 


3) Whether Guo Bing can require 
Wildlife World to delete his personal 
information that has been collected 


The court believes that this case is a 
service contract lawsuit, andthe contract 
between Guo Bing and Wildlife World 
does not stipulate the deletion of perso- 
nal information. Guo Bing’s request for 
Wildlife World to delete his personal facial 
recognition information was supported 
by the court, since it was not necessary, 
however, his request for Wildlife World 
to delete other information than facial 
recognition, including name, ID number, 
fingerprint identification information, 
phone number, admission records, was 
not supported bythe court. 

Based on the above, the court ordered 
the Defendant to compensate the Plain- 


tiff with a total of RMB1,038 for the loss 
of contract benefits and transportation 
expenses, and delete the facial feature 
information including photos submit- 
ted by the Plaintiff when he applied for 
the annual fingerprint card, within 10 
days, and rejected the Plaintiff’s other 
requests. 


The Second Instance 


Dissatisfied with the judgment of 
the first instance, Guo Bing and Wild- 
life World appealed to the Hangzhou 
Intermediate Court respectively. The 
intermediate court held a hearing on 
29 December 2020, and issued the final 
decision on 9 April 2021. In the final 
decision, the court additionally ordered 
the Defendant to delete the Plaintiff’s 
fingerprint information, in addition to 
the facial recognition information, and 
maintained the other judgement of the 
first instance. 


Comments 


Guo Bingtoldthenews media afterthe 
final judgement that he was considering 
applying for a retrial, since the courts 
did not determine that Wildlife World’s 
rules of fingerprint and face recognition 
as the only way to enter the park were 
invalid, nor supported that their deleti- 
on of his personal information should be 
done under the witness of a third-party 
technical agency. We will keep an eye to 
any process ofthis case. At the legislati- 
velevel, China’s existing laws only stipu- 
latethe general principles of lawfulness, 
fairness, and necessity for collection of 
personal information, and more detailed 
rules on special protection for face reco- 
gnition information will be expected. 


https://www.hq.org/legal-articles/ 
china-s-first-face-recognition-case- 
study-58943 
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Ab hier folgt die deutsche Übersetzung des Artikels von Frau Yu Du (erstellt mit Hilfe von deepl.com): 


Chinas erstes Gesichtserkennungs-Gerichtsverfahren 


Im Jahr 2019 erhielt Guo Bing, Jurapro- 
fessor an der Zhejiang Sci-Tech University, 
eine SMS, die den Besuchern eines Wild- 
parks geschickt wurde, die im Besitz einer 
Jahreskarte waren. In der SMS wurde dar- 
auf hingewiesen, dass die Verbraucher den 
Park in Zukunft nur nach einer Gesichtser- 
kennung anstelle der bisher üblichen Fin- 
gerabdruckerkennung betreten würden. 
Nachdem die Verhandlungen mit Wildlife 
World über die Rückerstattung der Kosten 
der Jahreskarte gescheitert waren, verklag- 
te Guo Bing Wildlife World vor Gericht. Die- 
ser Fall ist als das „erste Gerichtsverfahren 
zur Gesichtserkennung“ in China bekannt 
und hat große Aufmerksamkeit erregt. 


Zum Fall 


Guo Bing (Kläger) reichte am 28. Oktober 
2019 beim Bezirksgericht Hangzhou Fu- 
yang eine Klage im Zusammenhang mit ei- 
nem Streit über einen Dienstleistungsver- 
trag zwischen ihm und Hangzhou Wildlife 
World Co. (Beklagte) ein und beantragte 
1) die Anforderung der Beklagten, dass 
Verbraucher den Park nur nach Kontrolle 
per Fingerabdruck und Gesichtserkennung 
betreten könnten, für ungültig zu erklären, 
2) die Beklagte zu verurteilen ihm seine 
tatsächliche Kartengebühr von 1.360 RMB 
zurückzuzahlen, 

3) die Beklagte zu verurteilen seine Trans- 
portkosten von insgesamt 1.160 RMB zu 
erstatten, 

4) das Gericht möge der Beklagten aufer- 
legen alle persönlichen Daten (einschließ- 
lich, aber nicht beschränkt auf Name, Aus- 
weisnummer, Mobiltelefonnummer, Foto, 
Fingerabdruckdaten), die der Kläger bei der 
Beantragung der Jahreskarte angegeben 
hatte und die während der Nutzung erho- 
ben wurden, im Beisein einer dritten Partei 
(mittechnischem Fachverstand) auf Kosten 
der Beklagten zulöschen und 

5) die Beklagte zu verurteilen die Prozess- 
kosten zu tragen. 

Der Kläger behauptete, dass die Beklag- 
te ihn zwang die Jahreskarte mittels Fin- 
gerabdruckeingabe zu beantragen und zu 
benutzen, und ihn danach aufforderte sich 
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für die Gesichtserkennung zu registrie- 
ren, was gegen das Gesetz zum Schutz der 
Verbraucherrechte verstoße, und dass die 
Beklagte bei der Erbringung von Dienst- 
leistungen arglistig gehandelt habe. Darü- 
ber hinaus müsse die Beklagte gemäß dem 
Netzsicherheitsgesetz der VR China bei der 
Erhebung und Nutzung der personenbezo- 
genen Daten von Verbrauchern den Grund- 
satz der Rechtmäßigkeit, Korrektheit und 
Erforderlichkeit beachten und dürfe keine 
personenbezogenen Daten, die nicht im 
Zusammenhang mit ihren Dienstleistun- 
gen stehen, unrechtmäßig erheben und 
nutzen. 

Die Beklagte argumentierte, dass die 
Beklagte, als der Kläger die Jahreskarte 
beantragte, den Antragsprozess veröffent- 
lichte und darauf hinwies, dass der Zweck 
der Datenerfassung darin bestand die 
Identität der tatsächlichen Karteninhaber 
zu ermitteln, was dem Kläger, insbeson- 
dere als Juraprofessor, der auf persönliche 
Informationen und Datensicherheit spe- 
zialisiert ist, hätte erkennbar sein müs- 
sen, und dass sich der Kläger auf dieser 
Grundlage dazu entschloss im Austausch 
für den Verbrauchsrabatt der Jahreskarte 
persönliche biometrische Daten bereitzu- 
stellen. Die Beklagte argumentierte auch, 
dass der Kläger tatsächlich viele Male die 
Fingerabdruck-Identifikation für den Ein- 
trittin den Park verwendet habe und dass 
die Beklagte während der Erfüllung des 
Dienstleistungsvertrags das Erkennungs- 
system auf ein System zur Erkennung von 
Gesichtsmerkmalen aufgerüstet habe, um 
das Problem zu lösen, dass die geringe 
Erkennungsgenauigkeit des Fingerab- 
druckgeräts die langen Wartezeiten für die 
Nutzer der Jahreskarte beim Eintritt in den 
Park verursacht habe. Die Erhebung und 
Verwendung personenbezogener Daten 
durch die Beklagte erfolgte tatsächlich mit 
der Zustimmung des Klägers, was den Be- 
stimmungen des Verbraucherschutzgeset- 
zes und des Zivilgesetzbuches der VR China 
entsprach. Außerdem war der tatsächliche 
Schaden durch die Weitergabe der Daten 
noch nicht eingetreten, sondern nur eine 
hypothetische Möglichkeit. 


Gerichtsentscheidungen 
Die erste Instanz 


Das Bezirksgericht Hangzhou Fuyang 
hielt am 15. Juni 2020 eine Anhörung ab 
und erließ am 20. November 2020 eine 
Entscheidung. Das Gericht vertrat die Auf- 
fassung, dass der Kernpunkt dieses Falles 
die Bewertung und Standardisierung des 
Umgangs von Unternehmern mit perso- 
nenbezogenen Daten von Verbrauchern, 
insbesondere mit biometrischen Daten wie 
Fingerabdrücken und Gesichtern, sei und 
fasste den Schwerpunkt des Rechtsstreits 
in diesem Fall in den folgenden drei Punk- 
ten zusammen: 


1) Die Gültigkeit der von Guo Bing 
reklamierten Ladenbekanntmachun- 
gen und SMS 


Die chinesischen Gesetze verbieten nicht 
die Erhebung und Verwendung personen- 
bezogener Daten von Verbrauchern, son- 
dern legen den Schwerpunkt auf die Über- 
wachung und Verwaltung des Prozesses der 
Verarbeitung personenbezogener Daten. In 
diesem Fall verwendet Wildlife World die 
Fingerabdruck- und Gesichtserkennung auf 
der Grundlage der Tatsache, dass Jahres- 
kartennutzer den Park während der Gültig- 
keitsdauer unbegrenzt oft betreten können, 
um die Identität der Jahreskartennutzer zu 
identifizieren und die Effizienz des Parkein- 
tritts für Jahreskartennutzer zu verbessern. 
Eine solche Maßnahme erfüllt die Anfor- 
derungen der drei Grundsätze „Rechtmä- 
Rigkeit, Korrektheit und Erforderlichkeit”, 
die im Gesetz zum Schutz der Verbraucher- 
rechte festgelegt sind. Als Guo Bing die 
Jahreskarte beantragte, wies das Laden- 
schild von Wildlife World in auffälliger Form 
darauf hin, dass einige persönliche Daten, 
einschließlich der Fingerabdrücke des Käu- 
fers, benötigt würden. Guo Bing entschied 
sich diese Angaben zu machen, um Kunde 
der Jahreskarte zu werden. Der Inhalt des 
Hinweises im Geschäft schützte Guo Bings 
Recht über den Konsum Bescheid zu wis- 
sen und das Recht unabhängige Entschei- 
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dungen über persönliche Informationen 
zu treffen, schloss aber nicht die Rechte der 
Verbraucher aus oder schränkte sie ein. Er 
reduzierte oder befreite auch nicht die Ver- 
antwortung der Betreiber oder erhöhte die 
Verantwortung der Verbraucher, was unfair 
und unzumutbar wäre und stellte somit 
keine Ungültigkeit im Sinne von Artikel 26 
Absatz 3 des Gesetzes zum Schutz der Ver- 
braucherrechte dar. Daher gab das Gericht 
der ersten Klage von Guo Bing nicht statt. 

In diesem Fall, in dem Guo Bing und 
Wildlife World eine Vereinbarung über die 
Identifizierung von Fingerabdrücken für 
den Zutritt zum Park getroffen hatten, 
schickte Wildlife World Guo Bing während 
der Vertragserfüllung zwei SMS mit der Ab- 
sicht die ursprünglich vereinbarte Identi- 
fizierung per Fingerabdrücken durch eine 
Identifizierung per Gesichtserkennung 
zu ersetzen, was eine einseitige Vertrags- 
änderung darstellt. Unter dem Gesichts- 
punkt des Vertragsschlusses ist der Inhalt 
der SMS ein neues Angebot an Guo Bing. 
In Anbetracht der Tatsache, dass Guo 
Bing vor dem Gerichtsverfahren eindeu- 
tig erklärt hat, dass er nicht damit einver- 
standen ist den Park über die Gesichtser- 
kennung zu betreten, und beantragt hat 
die Ungültigkeit der beiden SMS auf dem 
Rechtsweg zu bestätigen, sollte festge- 
stellt werden, dass das oben genannte 
Angebot von Wildlife World erloschen ist. 
Das von Wildlife World veröffentlichte An- 
gebot zur Gesichtserkennung richtet sich 
in erster Linie an nicht näher bezeichnete 
Nutzer, die neu eine Karte beantragen, so 
dass das Angebot nicht zu einer Vertrags- 
klausel zwischen Guo Bing und Wildlife 
World geworden ist und keine rechtlichen 
Auswirkungen auf Guo Bing hat, d.h. Guo 
Bing hat kein unmittelbares rechtliches 
Interesse an dem Angebot. Sein Antrag 
auf Bestätigung der Ungültigkeit der SMS 
und der Shop-Benachrichtigung mit Ge- 
sichtserkennung entsprach nicht den Be- 
stimmungen von Artikel 119 Absatz 1 des 
Zivilprozessgesetzes und wurde daher vom 
Gericht nicht unterstützt. 


2) Zum Vertragsbruch und zur Fra- 
ge des Schadensersatzes, ob Wildlife 
World den Vertrag gebrochen hat oder 
betrügt, und wenn ja, wie der Schaden 
zu bestimmen ist 


Was den Vertragsbruch und die von Guo 
Bing geforderte Entschädigung angeht, so 
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hat Wildlife World ohne jegliche Rückspra- 
che mit Guo Bing und ohne dessen Zustim- 
mung eine SMS geschickt, um Guo Bing 
mitzuteilen, dass er den Park nicht betre- 
ten könne ohne sich mit einer Gesichtser- 
kennung zu registrieren. Dieses Verhalten 
ist ein eindeutiger Hinweis auf die Nicht- 
erfüllung des ursprünglichen Vertrags. 
Gemäß Artikel 108 des Vertragsgesetzes ist 
Guo Bing als betroffene Partei berechtigt 
Wildife World aufzufordern die Verant- 
wortung für den Vertragsbruch vor Ablauf 
der Leistungsperiode zu übernehmen, ein- 
schließlich des entgangenen Vertragsge- 
winns (678 RMB) und der teilweisen Trans- 
portkosten (360 RMB) vom 26. Oktober 
2019 bis zum Ablauf der Vertragsperiode. 

Was den von Guo Bing geltend gemach- 
ten Betrug und die Entschädigung betrifft, 
so ist es notwendig und angemessen, dass 
Wildlife World differenzierte Kontrollme- 
thoden für verschiedene Kundengruppen 
anwendet. Das Gerichtist der Ansicht, dass 
es keine Beweise dafür gibt, dass Wildlife 
World absichtlich andere Zugangsmöglich- 
keiten zum Park verschwiegen hat, um Guo 
Bing bei der Beantragung der Karte in die 
Irre zu führen, so dass Guo Bings Behaup- 
tung jeder Grundlage entbehrt. Darüber 
hinaus setzte Wildlife World die Technolo- 
gie zur Erkennung von Fingerabdrücken 
für rechtmäßige Geschäftsaktivitäten ein 
und sammelte und verwendete die Fin- 
gerabdruckdaten mit der Zustimmung der 
Verbraucher. Es gibt keine Beweise dafür, 
dass diese Technologie und die von Wildlife 
World angebotenen Reiseleistungen nicht 
die Anforderungen an die „Gewährleistung 
derSicherheit von Personen und Eigentum” 
gemäß Artikel 5 Absatz 1 und Artikel 16 
Absatz 1 der Maßnahmen zur Ahndung von 
Verstößen gegen Verbraucherrechte und 
-interessen erfüllen. 


3) Zur Löschung der personenbezo- 
genen Daten 


Das Gericht ist der Ansicht, dass es sich 
in diesem Fall um einen Rechtsstreit über 
einen Dienstleistungsvertrag handelt 
und dass der Vertrag zwischen Guo Bing 
und Wildlife World keine Löschung perso- 
nenbezogener Daten vorsieht. Guo Bings 
Antrag auf Löschung seiner persönlichen 
Gesichtserkennungsdaten durch Wildlife 
World wurde vom Gericht unterstützt, da 
diese nicht zur Vertragserfüllung notwen- 
dig seien. Seinem Antrag aufLöschung an- 


derer Daten als Gesichtserkennungsdaten, 
einschließlich Name, ID-Nummer, Finger- 
abdruck-Identifikationsdaten, Telefon- 
nummer und Zulassungsunterlagen, wurde 
vom Gericht jedoch nicht stattgegeben. 
Auf der Grundlage der obigen Ausfüh- 
rungen wies das Gericht die Beklagte an 
den Kläger mit insgesamt 1.038 RMB für 
den Verlust von Vertragsleistungen und 
Transportkosten zu entschädigen und die 
vom Kläger bei der Beantragung der Jah- 
reskarte für Fingerabdrücke eingereichten 
Gesichtsdaten einschließlich Fotos inner- 
halb von 10 Tagen zu löschen, und wies die 
weiteren Anträge des Klägers zurück. 


Die zweite Instanz 


Da sie mit dem Urteil der ersten Instanz 
nicht zufrieden waren, legten Guo Bing 
und Wildlife World jeweils Berufung beim 
Zwischengericht in Hangzhou ein. Das Zwi- 
schengericht hielt am 29. Dezember 2020 
eine Anhörung ab und erließ am 9. April 
2021 die endgültige Entscheidung. In der 
endgültigen Entscheidung wies das Gericht 
die Beklagte zusätzlich zu den Gesichtser- 
kennungsdaten an die Fingerabdruckda- 
ten des Klägers zu löschen, und hielt das 
andere Urteil der ersten Instanz aufrecht. 


Kommentar 


Guo Bing erklärte gegenüber den Me- 
dien nach dem endgültigen Urteil, dass 
er erwäge die Wiederaufnahme des Ver- 
fahrens zu beantragen. Das Gericht habe 
nicht festgestellt, dass die Vorschriften 
von Wildlife World, wonach der Park nur 
nach Identifikation per Fingerabdruck 
und Gesichtserkennung betreten werden 
dürfe, ungültig seien. Das Gericht habe 
auch nicht befürwortet, dass die Lö- 
schung seiner persönlichen Daten unter 
dem Beisein einer dritten Partei (mittech- 
nischem Fachverstand) erfolgen sollte. 

Wir werden den weiteren Verlauf dieses 
Falles im Auge behalten. Auf gesetzge- 
berischer Ebene sehen die bestehenden 
Gesetze Chinas nur die Beachtung der 
allgemeinen Grundsätze der Rechtmäßig- 
keit, Fairness und Erforderlichkeit für die 
Erhebung personenbezogener Daten vor. 
Man wird erwarten können, dass der Ge- 
setzgeber der VR China künftig detaillier- 
tere Regeln für den Schutz von Gesichtser- 
kennungsdaten schaffen wird. 


Az 


Riko Pieper 


Gefälschte Impfzertifikate? 


Nach der Welle ist vor der Welle. Diese 
- in Anlehnung an Fußball-Fachwissen 
- auch aufdie Corona-Infektionen über- 
tragbare Weisheit, hat den Arbeitskreis 
Kryptografie (AK Krypto) des BvD! ver- 
anlasst sich einmal ein paar Gedanken 
zu den Impfzertifikaten und deren „Fäl- 
schungen“ zu machen. 

Seit es für Corona Impfstoffe gibt und 
Ungeimpfte mit Einschränkungen leben 
mussten, gab es auch zunehmend das 
Phänomen der gefälschten Impfpäs- 
se/Impfzertifikate. Sicher gab es auch 
schon vor der Pandemie derartige Fälle, 
aber diese spielten offensichtlich keine 
große Rolle. Zu einem massenhaften 
Anstieg von gefälschten Impfpässen 
kam es erst im Zusammenhang mit Co- 
rona und der Nutzung von digitalen Zer- 
tifikaten in der Corona-Warn-App (CWA) 
oder anderen Apps, in denen die digi- 
talen Zertifikate gespeichert und ange- 
zeigt werden konnten. 

Laut Robert Koch-Institut (RKI) wur- 
den seit Beginn der Impfkampagne bis 
zum 27.01.2022 insgesamt rund 162,1 
Millionen Dosen verimpft. Ausgestellt 
wurden aber 204,7 Millionen Zertifi- 
kate. Damit wurden rund 42,6 Milli- 
onen mehr Zertifikate ausgestellt als 
Impfungen verabreicht. Es gibt unter- 
schiedliche Gründe, weshalb teilweise 
pro Impfung mehrere Zertifikate ausge- 
stellt wurden. Das war aber wohl kaum 
bei Y der Impfungen der Fall. Die An- 
zahl der unberechtigten Impfzertifika- 
te hat laut Medienberichten zum Jah- 
resende 2021 extrem zugenommen. Die 
Diskrepanz zwischen Impfungen und 
Zertifikaten lag am 15.12.2021 „nur“ 
bei etwa 25,8 Millionen und hat sich 
innerhalb weniger Wochen fast verdop- 
pelt. Zunächst war auch nicht klar, ob 
derartige Fälschungen strafbar sind. 
Erst durch die Reform des Strafgesetz- 
buches wurde diese Lücke im Herbst 
2021 geschlossen. 

Aber: Was wurde eigentlich gefälscht? 
Handelt es sich hiertatsächlich um „Fäl- 
schungen“? Was hat das mit Kryptogra- 
fiezutun? 
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Die Antwort auf die letzte Frage sei 
hier vorweggenommen: Digitale Impf- 
zertifikate sind elektronisch signiert 
und nach dem Stand der Technik somit 
fälschungssicher. Fälschen lässt sich 
zwar grundsätzlich alles (jede „O” kann 
in eine „1” geändert werden und umge- 
kehrt), aber bei den verwendeten Ver- 
fahren, die zur elektronischen Signatur 
der Impfzertifikate eingesetzt werden, 
istes nach derzeitigem kryptologischen 
Wissensstand nicht möglich eine Ände- 
rung durchzuführen, ohne dass diese 
Änderung bemerkt wird. 

Das gilt jedenfalls für alle heutigen 
Computer in Kombination mit den hier 
verwendeten Algorithmen und Signier- 
verfahren. Falls einmal in ein paar Jah- 
ren Quantencomputer zum Einsatz kom- 
men, wird die Situation voraussichtlich 
anders sein. Wann es so weit ist, weiß 
man nicht genau. Allgemein geht man 
davon aus, dass esin den nächsten paar 
Jahren noch keine derartig nutzbaren 
Quantencomputer geben wird. 

Ohne an dieser Stelle näher darauf 
einzugehen sei hier erwähnt, dass der 
Begriff der „elektronischen Signatur” 
oft missverstanden wird. Definiert ist 
erin der Verordnung (EU) Nr. 910/2014 
(eIDAS-Verordnung)?, welche unter- 
schiedliche elektronische Signaturen 
vorsieht. Laut der Begriffsbestimmun- 
gen im Art. 3? Nr. 10 gilt: 

„Elektronische Signatur“ sind Daten in 
elektronischer Form, die anderen elekt- 
ronischen Daten beigefügt oder logisch 
mit ihnen verbunden werden und die der 
Unterzeichner zum Unterzeichnen ver- 
wendet. 

Dieses Kriterium erfüllt bereits jede E- 
Mail, der der Name des Unterzeichners 
beigefügt ist. Ein derart ergänzter Name 
hat jedoch keinerlei Beweiskraft (dass 
wirklich die Person unterschrieben 
hat, deren Name angegeben ist, bzw. 
dass der Text nach dem Unterzeichnen 
nicht verändert wurde). Erst die „Fort- 
geschrittene elektronische Signatur” 
(Nr. 11 der Begriffsbestimmungen) er- 
füllt die oben genannten Kriterien und 


davon ist bei den Signaturen der Impf- 
zertifikate die Rede. 

Entsprechendes gilt für elektronisch 
Siegel (Nr. 25 der Begriffsbestimmun- 
gen), die auch für juristische Personen 
wie Behörden und Unternehmen und 
somit auch für Ärzte oder Apotheker aus- 
gestellt werden können und bei den Impf- 
zertifikaten zum Einsatz kommen. Der 
Unterschied soll aber keine Rolle spielen, 
denn technisch bzw. mathematisch oder 
kryptografisch gibt es hier keinen Unter- 
schied zu den fortgeschrittenen Signatu- 
ren, so dass hier weiterhin von elektroni- 
schen Signaturen die Rede ist. 

So, wie es die CWA (und andere Apps) 
gibt, in die man die Impfzertifikate über 
den darauf enthaltenen QR-Code einle- 
sen und vorzeigen kann, gibt es auch 
das entsprechende Gegenstück: die 
„CovPass Check“-App. 

Auch die „CovPass Check“-App wird 
(wie die CWA) vom RKI über die üblichen 
App-Stores kostenlos zur Verfügung ge- 
stellt. Mit diesen Apps können die QOR- 
Codes der Impfzertifikate gelesen und 
geprüft werden. Die Daten der Impfzer- 
tifikate sind einschließlich der elektro- 
nischen Signatur im jeweiligen QR-Code 
eines Zertifikats enthalten. 

Aufgrund der Berichterstattung hat- 
te man den Eindruck, dass die Technik 
schuld ist bzw. die CWA oder die „CovPass 
Check“-App kaputt sei. Über das dazu- 
gehörige Prüfverfahren hingegen wurde 
kaum diskutiert. Ein Grund könnte sein, 
dass die elektronische Signatur als der 
kompliziertere Teil erachtet wurde. 

Obwohl die Impfzertifikate zunächst 
auf Papier gedruckt werden, handelt es 
sich dabei um digitale Zertifikate, denn 
der QR-Code besteht mit seinen hellen 
und dunklen Punkten letzten Endes 
aus vielen „Nullen“ und „Einsen”. Der 
Datenträger (das Papier) kann also ana- 
log sein, aber die Information darauf 
(die Daten) sind trotzdem digital. Die 
Papierzertifikate können von den Apps 
eingelesen werden. Danach können die 
Zertifikate - insbesondere der QR-Code 
sowie weitere relevante Daten - auch 
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von der CWA angezeigt werden und es 
ist nicht erforderlich das Original des 
Papierzertifikats immer bei sich zu tra- 
gen. Üblicherweise hat man sein Smart- 
phone immer dabei. 

Falls aber jemand gar kein Smartpho- 
ne besitzt, ist das auch kein Problem. In 
diesem Fall kann man das Original des 
Papierzertifikats oder auch eine Kopie 
davon bei sich tragen oder z. B. (was 
manche Apotheken anbieten) den QR- 
Code des Zertifikats auf eine Art Aus- 
weiskarte drucken lassen. In allen Fäl- 
len ist es also möglich ein elektronisch 
signiertes Impfzertifikat immer bei sich 
zu haben - mit oder ohne Elektronik 
(Smartphone) - und dieses ist folglich 
auch verlässlich mit einer Prüf-App veri- 
fizierbar. Die in Deutschland hauptsäch- 
lich verwendete „CovPass Check“”-App 
setzt dies vorbildlich um, inkl. Daten- 
minimierung und Speicherbegrenzung. 

Nachdem nun geklärt ist, warum 
die bei digitalen Impfzertifikaten ge- 
nutzten elektronischen Signaturen 
fälschungssicher sind und dass Fäl- 
schungen von Impfzertifikaten, die 
nicht von den Apps CWA oder „CovPass 
Check“-App (wenn man sie nutzt) ange- 
zeigt werden, eigentlich nicht möglich 
sein sollten, stellt sich die Frage, was es 
denn mit den anfangs erwähnten vielen 
Fälschungen auf sich hat. 

Die einfache Antwort: Die digita- 
len Impfzertifikate wurden nicht „ge- 
fälscht” (bestenfalls im juristischen 
Sinne, aber nicht aus Sicht der Krypto- 
grafie, die die Authentizität und Inte- 
grität eines signierten Dokuments si- 
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cherstellt), da dies nach dem aktuellen 
Stand der Technik nicht möglich ist. 

Was aber möglich - und scheinbar auch 
einfach - ist, ist eine Fälschung des alten 
gelben analogen Impfpasses auf Papier. 
Der enthält zwar neben einem Stempel 
für jede Impfung auch eine Unterschrift 
und einen Aufkleber mit Angaben des 
jeweiligen Impfstoffes. Diese Angaben 
sind jedoch leicht zu fälschen bzw. die 
Echtheit ist schwer bzw. gar nicht zu 
überprüfen. Wenn man mit einem ge- 
fälschten Impfpass z. B. zu einer Apothe- 
ke geht und sich auf dieser Basis einen 
digitalen Impfpass ausstellen lässt, dann 
hat man aus einem gefälschten Impfpass 
ein „echtes“ (weil nicht gefälschtes, son- 
dern von einem „befugten”“ Apotheker 
ausgestelltes und unverändertes) Impf- 
zertifikat anfertigen lassen - wenn auch 
unrechtmäßig. 

Eine weitere Möglichkeit ist, dass sich 
jemand als Arzt oder Apotheker ausgibt, 
der keiner ist und so unrechtmäßig ein 
Zertifikat zur Erstellung von Impfzertifi- 
katen erwirbt. An dieser Stelle gab es of- 
fensichtlich Defizite bei der Überprüfung 
der Angaben des vermeintlichen Arztes/ 
Apothekers. Solche unechten Ärzte/ 
Apotheker konnten dann mit ihrem Zer- 
tifikat auch Impfzertifikate ausstellen. 

Die Überprüfung eines solchen Zerti- 
fikats würde von der „CovPass Check”- 
Appjedenfalls zunächst nicht beanstan- 
det und das Zertifikat somit als „gültig“ 
angezeigt werden. Das liegt daran, dass 
sowohl der angegebene Name und das 
Geburtsdatum mit dem des vorzulegen- 
den Ausweises übereinstimmt (wenn 


das so auf dem gefälschten Papier-Impf- 
pass eingetragen war), als auch die Zer- 
tifikatangaben nach der Signatur nicht 
mehr verändert wurden. Das ist mit 
handschriftlichen Unterschriften ver- 
gleichbar. Wenn jemand ein Dokument 
nach Vortäuschung falscher Tatsachen 
unterschreibt, dann ist das zwar nicht 
in Ordnung und auch anfechtbar, aber 
die Unterschrift wäre nicht gefälscht. 

Eine andere Möglichkeit, sich un- 
rechtmäßig ein „echtes“ Impfzertifikat 
zu erschleichen, wäre den ausstellen- 
den Verantwortlichen (z.B. Arzt, Apo- 
theker) mittels einer geldlichen Zuwen- 
dung zu „überreden“ dies zutun. 

Alle genannten Varianten hat esin der 
Vergangenheit gegeben. Bei der ersten 
Variante war es so, dass die gefälschten 
Impfpässe in großen Mengen über das 
Internet bzw. Darknet angeboten wur- 
den. Das kann jedoch auch von Strafver- 
folgqungsbehörden aufgedeckt und dann 
- jedenfalls für den konkreten Anbieter 
dieser Fälschungen - beendet werden. 
Bei der zweiten und dritten Variante fällt 
es auch irgendwann auf, wenn jemand 
zu viele unberechtigte Zertifikate aus- 
stellt - z. B. weiljemand erwischt wurde, 
der sich definitiv nicht geimpft und dies 
evtl. auch stolz überall herumerzählt hat 
und trotzdem ein „gültiges“ Zertifikat 
vorzeigen konnte ohne einen gültigen 
Eintrag in seinem Impfpass vorweisen zu 
können. In solchen Fällen kann man die 
elektronische Signatur der Verantwort- 
lichen der ausgestellten Zertifikate für 
ungültig erklären und auf eine entspre- 
chende Liste setzen. Damit wären dann 
ggf. alle Zertifikate dieses Verantwortli- 
chen nachträglich ungültig. 

Abschließend sei hier noch auf die zu 
lasche bzw. fatal falsche Überprüfung 
der Impfpässe hingewiesen: 

Viele Nutzer der CWA haben wahr- 
scheinlich schon erlebt, dass man sein 
(korrektes) Impfzertifikat einschließ- 
lich gültigem Personalausweis zum 
Einlass vorgezeigt hat und dann ein- 
fach durchgewunken wurde. Dabei war 
für den Prüfer oft nur der QR-Code per 
„Sichtprüfung”“ erkennbar. Es ist voll- 
kommen schleierhaft, was diese „Prü- 
fung” bringen soll, denn kein Mensch 
kann einen QR-Code mit bloßem Auge 
entziffern, dekodieren und auch noch 
die darin enthaltene elektronische Sig- 
natur überprüfen. Allein für die krypto- 
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grafische Überprüfung der Signatur sind 
sehr komplexe mathematische Opera- 
tionen nötig, die kein Rechenkünstler, 
der mit dieser Nummer im Zirkus auftre- 
ten wollte, je bewerkstelligen könnte. 

In anderen Fällen wurde der QR-Code 
auch noch etwas nach oben gescrollt, 
damit man (wenigstens) den Namen 
und das angegebene Geburtsdatum 
mit dem Ausweis vergleichen und auch 
den Impfstatus lesen konnte. Nach 
der Lektüre dieses Artikels sollte aber 
jedem klar sein, dass auch das nicht 
ausreichend ist, denn wenn man den 
QR-Code nicht mit einer App überprüft, 
dann kann darunter beliebiger Text 
stehen, ohne dass dieser als Fälschung 
erkennbar wäre. 

Als Fazit bleibt festzuhalten: 


Heinz Alenfelder 


Die Schwachstelle sind nicht die digi- 
talen Impfzertifikate (QR-Code im Han- 
dy oder auf Papier), die über elektroni- 
sche Signaturen kryptografisch abgesi- 
chert sind. Die Schwachstelle sind die 
analogen (gelben) Impfpässe, die keine 
hinreichenden Sicherheitsmerkmale 
aufweisen sowie die teilweise zu lasche 
Überprüfung der Ärzte/Apotheker, die 
ihr eigenes Zertifikat einschließlich der 
Möglichkeit zur Ausstellung von „sig- 
nierten“ Impfzertifikaten beantragen 
und die unbekümmerte und unzurei- 
chende - ja geradezu schildbürgerhafte 
- „Überprüfung“ der Zertifikate. 


1 Der vorliegende Text ist eine Zusammen- 
fassung einer Diskussion der Mitglieder 
des AK Krypto des Berufsverbands der 
Datenschutzbeauftragten Deutschlands 


(BvD) e.V., die während eines Arbeits- 
kreistreffens geführt wurde. Der Text 
wurde Ende August 2022 unter 
https://www.bvdnet.de/ak-krypto- 
zu-impfzertifikaten/ als Blogbeitrag 
veröffentlicht. 


2 https://eur-lex.europa.eu/legal-content/ 
DE/TXT/PDF/?uri=CELEX:32014R0910 
&from=DE sowie Erläuterung dazu bei 
Wikipedia: https://de.wikipedia.org/ 
wiki/Verordnung_(EU)_Nr._910/2014_ 
(eIDAS-Verordnung) 


3 https://eur-lex.europa.eu/legal-content/ 
DE/TXT/HTML/?uri=CELEX:32014R0910 
&from=DE#d1e810-73-1 


4 Ob der Apotheker immer „befugt“ ist 
oder die Befugnis ggf. unrechtmäßig 
erworben wurde, wird weiter unten 
thematisiert. 


Eine Milliarde Matrixcode-Briefmarken - 
Was steckt dahinter? 


Ende Mai 2022 verkündete die Deut- 
sche Post AG stolz, dass sie fünfzehn 
Monate nach Einführung des neuen 
Matrixcodes auf Postwertzeichen be- 
reits eine Milliarde dieser Briefmarken 
verkauft habe. Verschiedene Zeitungs- 
artikel informierten entlang des Presse- 
erklärungstextes. Dieser Beitrag soll die 
Hintergründe zusammentragen ohne 
weiter auf die Einhaltung des Postge- 
heimnisses (Artikel 10 des Grundgeset- 
zes) einzugehen, die schlicht vorausge- 
setzt werden muss. 


Das Grundsätzliche 


Seit diesem Jahr tragen sämtliche von 
der Deutschen Post herausgegebenen 
Briefmarken zusätzlich zum Motiv ei- 
nen Matrixcode. Dieser Code darf nicht 
abgeschnitten werden, denn er soll die 
Briefmarken fälschungssicher machen. 
Dazu wird jedes auf einem Brief verwen- 
dete Postwertzeichen beim Sortieren 
im Briefzentrum nicht nur per Stem- 
pelaufdruck entwertet, sondern auch 
digital erfasst. Wenn die Briefmarke be- 
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reits erfasst sein sollte, also bereits zum 
Frankieren benutzt wurde, beziehungs- 
weise wenn es sich um eine Kopie oder 
Fälschung handelt, wird der Brief nicht 
befördert, sondern an den Absender zu- 
rück gesendet. 

Über den gescannten Matrixcode ei- 
ner Briefmarke können mit der Post-App 
jederzeit - auch nach dem Empfang des 
Briefs - zusätzliche Informationen zur 
Briefmarke selbst abgerufen werden. 
Im Rahmen der kostenlosen Basis-Sen- 
dungsverfolgung wird als Zusatznutzen 
abrufbar, wann der Brief im Start-Brief- 
zentrum bearbeitet wurde und wann er 
im Briefzentrum der Zielregion ange- 
kommen ist. Voraussetzung dafür ist 
das Scannen der Markevor dem Versand. 
Die Zustellung selbst wird explizit nicht 
protokolliert, dazu ist eine Extragebühr 
für ein Einschreiben nötig. 


Die Details 
Auf ihrer Webseite erläutert die Deut- 


sche Post („Wissenswertes über den Ma- 
trixcode in der Frankierung“'), dass sie 


den „DataMatrix-Code” in unterschied- 
lichen Größen und Formen einsetzt. 
Demnach enthält er auf den Briefmar- 
ken folgende Daten: 

« Die Buchstaben „DEA”, um das Land 
(DE - internationale Kennzeichnung 
Deutschland) und die Transportfirma 
zu kennzeichnen (A - Deutsche Post). 
Die Art der Frankierung, hier also, 
dass es sich um ein Postwertzeichen 
handelt. 

Eine laufende Nr. je Motiv als eindeu- 
tiger Zähler sowie eine interne Num- 
mernkreiskennung, die eine Auflage 
bzw. ein Motiv angibt und eine Ken- 
nung für das Motiv, das die Briefmarke 
zeigt. 

Welche Druckerei dieses Postwertzei- 
chen gedruckt hat und um welche Art 
es sich handelt, also ob es eine nass- 
klebende oder selbstklebende Marke 
ist, die vom Bogen oder von der Rolle 
kommt. 

Weiterhin werden Informationen zur 
Absicherung der Echtheit und Fäl- 
schungssicherheit des Matrixcodes 
gespeichert. Dies ist der sog. Crypto- 
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string, ergänzt um einen Hash-Wert, 
wie er analog bei einer digitalen Sig- 
natur errechnet wird. 

« Dann folgen schließlich das Ausgabe- 
datum und der Wert der Briefmarke. 


Diese Daten kann nur die Post ausle- 
sen. Für Briefmarken, die von Firmen 
selbst gedruckt werden können, gibt 
es allerdings entsprechende Scanner 
(z.B. für die Frankierung von Retouren 
zum späteren automatischen Verarbei- 
ten). Zu weiteren technischen Details 
des Datamatrix-Codes auf Briefmarken, 
insbesondere zu den Vorteilen für Brief- 
markensammler, äußert sich Jürgen Ol- 
schimke auf seiner Webseite’. 

Nach dem Scannen bei der Versandab- 
wicklung der Briefe speichert die Post 
die Daten aus dem Matrixcode teilweise, 
um erkennen zu können, ob die Brief- 
marke bereits benutzt wurde. Außer- 
dem ermöglicht der Matrixcode - wenn 
er vor dem Versand mit der Post-App 
gescannt wurde - die Verfolgung des 
Briefs bis zum Ziel-Briefzentrum. Dazu 
heißt es auf der Webseite der Post: „Es 
werden nur die für die Sendungsver- 
folgung relevanten Daten gespeichert, 
also die im Matrixcode enthaltene Sen- 
dungsnummer, Informationen zur Bear- 
beitung im Logistikzentrum und die auf 
der Sendung enthaltene Postleitzahl 
des Empfängers. Weitere Angaben wie 
Name oder Adresse von Absender oder 
Empfänger werden nicht gespeichert. 
Die Daten werden nach einer Frist von 
21 Tagen automatisch gelöscht.” Nicht 
angezeigt wird beispielsweise das Ziel- 
Briefzentrum, wenn die Empfängerin 
oder der Empfänger einen Nachsen- 
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deantrag gestellt hat, so dass der Um- 
zug auf diese Weise nicht nachverfolgt 
werden kann. Abhängig von einer sog. 
Zusatzleistung (also Einschreiben, 
Nachnahme etc.) werden weitere Daten 
gespeichert, die über die „ordnungsge- 
mäße Leistungserbringung”“ durch die 
Deutsche Post informieren. 


Der Datenschutz 


Um nun festzustellen, welche Be- 
dingungen für die Daten gelten, die in 
Kombination mit dem Lesen von Absen- 
de- und Empfangs-Adresse eines Briefes 
im Rahmen der Sortierung gespeichert 
werden, isteein Blick in die Datenschutz- 
informationen auf der Webseite der 
Deutschen Post AG® nötig. Die Post be- 
tont, dass natürlich das Postgeheimnis 
und auch das Postgesetz Anwendung 
finden und dass der Matrixcode nicht 
dazu diene Sendungsbeziehungen zwi- 
schen Personen auszuwerten. Ansons- 
ten ist es nicht ganz einfach die Brief- 
versand-Bedingungen aus der Vielzahl 
der Unterabschnitte der Datenschutzin- 
formationen herauszufiltern. 

Zunächst einmal treffen einige Punk- 
te von „A. Allgemeiner Teil” auf den 
Briefversand zu, doch muss beim Lesen 
entschieden werden, worauf die Post 
die Datenverarbeitung wohl stützt. Als 
ein Grund wird genannt: „beispielswei- 
se, um ... Ihnen - sofern zulässig - be- 
darfsgerechte Werbung zukommen zu 
lassen”. Fraglich ist also, ob das Zukom- 
menlassen von Werbung aufgrund einer 
App-Nutzung zum Scannen des Mat- 
rixcodes zulässig wäre und ob es über- 
haupt stattfindet. Die Überprüfung der 


Briefmarke fällt wohl unter den Punkt 
„zu Zwecken der Entgeltsicherung”. 

Der Teil „B. Datenverarbeitung” be- 
zieht sich auf die verschiedenen Online- 
Angebote von der Webseite über den 
Portokalkulator und die Sendungsnach- 
verfolgung bis zur App und den sozialen 
Kanälen. 

Schließlich geht der Teil „C. Produkte 
und Services” dann auf Briefsendungen 
ein. Dort entspricht sowohl die Art der 
Daten als auch die Liste der Verarbei- 
tungszwecke den Erwartungen. Wiede- 
rum taucht hier der Begriff der bedarfs- 
gerechten Werbung auf, diesmal mit 
einem Link zu einem Kontaktformular 
für diejenigen, die von „Widerspruchs- 
rechten - insbesondere gegen die Ver- 
wendung Ihrer Daten zu Werbezwecken 
- Gebrauch machen möchten”. Bei der 
Speicherdauer ist zwar bemerkenswert, 
dass es hier für nicht nachweispflichti- 
ge Sendungen heißt: „Daten ... werden 
zwecks Qualitäts- und Entgeltsicherung 
bzw. wegen Erfüllung beauftragter Zu- 
satzleistungen maximal 15 Werktage ge- 
speichert“. Daraus ist aber abzuleiten, 
dass die an anderer Stelle genannten 21 
Tage für die Briefmarken-Daten selbst 
ohne die personenbezogenen Adress- 
Daten gelten. Jedenfalls wird die länge- 
re Speicherdauer auf Nachfrage durch 
einen Datenschutzberater der Deut- 
schen Post AG mit „Serviceaspekt für 
den Kunden“ begründet und als „ausge- 
wogen und angemessen” bewertet. 

Bezüglich der Basis-Sendungsverfol- 
gung per „Post & DHL App” istnoch zu er- 
wähnen, dass für diese App keine Regist- 
rierung nötig ist, wenn nicht mehr als 10 
Sendungen gleichzeitig verfolgt werden 
sollen. Zur Beurteilung des Datenschutz- 
verhalten der App sei abschließend auf 
Mike Kuketz verwiesen, der die „Post & 
DHL App“ in seinem Blog im Oktober 2021 
unter die Lupe genommen hat‘. 


1 https://www.deutschepost.de/de/f/ 
frankierung/matrixcode.html 


2 http://jolschimke.de/briefmarken-und- 
ganzsachen/der-datamatrixcode-auf- 
briefmarken.html 


3 https://www.deutschepost.de/de/f/ 
footer/datenschutz.html 


4 https://www.kuketz-blog.de/post-dhl- 
app-datenuebermittlung-an-tracking- 
anbieter-noch-vor-zustimmung- 
einwilligung/ 
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Offener Brief anlässlich der Frühjahrskonferenz der Innenminister und -senatoren 


vom 30. Mai 2022 


Vorratsdatenspeicherung in Deutschland und 
der EU stoppen: Ein Ende für die anlasslose 
Massenüberwachung 


us 


BildsiStock.com /gorodenkoff 


An die 

Konferenz der Innenminister und 
-senatoren 

Bundesinnenministerin Nancy Faeser 


Es ist nun mehr als zehn Jahre her, 
dass zehntausende Menschen in Berlin 
und anderen Städten gegen die Vor- 
ratsdatenspeicherung auf die Straße 
gegangen sind. In verschiedenen Ge- 
richtsentscheidungen wurde sie seither 
für europarechts- und verfassungswid- 
rig erklärt. Denn die anlasslose und flä- 
chendeckende Speicherung der Telefon-, 
Internet- und Ortsdaten von Millionen 
von Bürgerinnen und Bürgern ist mit den 
Grundwerten einer freien und offenen 
Gesellschaft nicht zu vereinbaren. 

Der späten Einsichtfolgend, dassjeder 
Versuch einer grundrechtskonformen 
Massenüberwachung in einer Sackgasse 
enden muss, hat die Bundesregierung 
in ihrem Koalitionsvertrag beschlossen 
die anlasslose Vorratsdatenspeicherung 
endlich durch eine rechtssichere und 
anlassbezogene Lösung zu ersetzen. 
Konkrete Pläne, wie dieses Versprechen 
an die Bürgerinnen und Bürger umge- 
setzt werden soll, wurden aber leider 
bislang nicht vorgelegt. 
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Eine grundrechtsorientierte Sicher- 
heitspolitik darf nicht immer wieder 
versuchen die Grenzen des gerade noch 
verfassungsmäßigen auszureizen. Eine 
solche Politik führt nicht nur zu einer 
sukzessiven Aushöhlung rechtsstaatli- 
cher Grundsätze, sondern in der Praxis 
auch zu jahrelangen Hängepartien, in 
denen die Rechtslage weder für die Bür- 
gerinnen und Bürger noch für die Sicher- 
heitsbehörden nachzuvollziehen ist. 

Wir sehen mit großer Sorge, wie Re- 
gierungen einiger europäischer Staaten 
die Rechtsprechung des EU-Gerichts- 
hofs seit Jahren nicht umsetzen und 
stattdessen Gesetze schaffen, die in 
entscheidenden Punkten nicht den An- 
forderungen des EU-Rechts auf Schutz 
der Privatsphäre der Bürgerinnen und 
Bürger entsprechen. Diese Gesetze ver- 
stoßen teilweise gegen europäisches 
Recht und führen in der Praxis zu einer 
Massenüberwachung der Bevölkerung, 
die der EuGH wiederholt ausdrücklich 
verboten hat. Daran ändern auch Kon- 
zepte wie die geografisch „gezielte Vor- 
ratsdatenspeicherung“, der pauschale 
Verweis auf die „nationale Sicherheit” 
oder die generelle Vorratsdatenspeiche- 
rung von IP-Adressen nichts. 


Wir fordern Sie daher auf dem Spuk 
der Vorratsdatenspeicherung und dem 
unwürdigen Gezerre vor den Gerichten 
endlich ein Ende zu bereiten und sich 
auf nationaler wie europäischer Ebene 
für ein endgültiges Ende der grund- 
rechtswidrigen Massenüberwachung 
einzusetzen. 


Aktion Freiheit statt Angst 
Electronic Frontier Finland 
Elektronisk Forpost Norge 
[Norwegen] 

epicenter.works [Österreich] 
European Digital Rights (EDRi) 
Forum InformatikerInnen für Frieden 
und gesellschaftliche Verantwortung 
(FIFF) 

Deutsche Vereinigung für Daten- 
schutz (DVD) 

Deutscher Journalisten-Verband 
(DJV) 

Digitale Gesellschaft 

Digitalcourage 

Homo Digitalis [Griechenland] 
IT-Pol [Dänemark] 

Republikanischer Anwältinnen- und 
Anwälteverein (RAV) 
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Pressemitteilung der DVD vom 15.08.2022 


DVD: Online-Registerveröffentlichungen verstoßen 


gegen Datenschutz 


Seit dem 1. August 2022 sind auf der 
Plattform „handelsregister.de” sämtli- 
che Einträge in den Handels-, Genos- 
senschafts-, Partnerschafts- und Ver- 
einsregistern über das Internet ohne 
weitere Einschränkungen abrufbar. Da- 
durch sind teilweise sensible persönli- 
che Daten - Geburtsdaten, Adressen, 
Bankverbindungen, sogar Unterschrif- 
ten z.B. von Vereinsvorständen oder 
von Unternehmensangehörigen - für 
jedermann online abruf- und auswert- 
bar. Die Deutsche Vereinigung für Da- 
tenschutz e.V. (DVD) weist darauf hin, 
dass diese aktuelle Praxis zum Daten- 
missbrauch geradezu einlädt und for- 
dert eine Bereinigung der Register um 
sensible Daten und eine Korrektur der 
Rechtsgrundlagen. 

Die Online-Zugänglichkeit von Re- 
gistern verfolgt das begrüßenswerte 
Ziel von mehr Transparenz im Wirt- 
schaftsleben. Damit wird der europa- 
rechtlichen Verpflichtung der Digitali- 
sierungs-Richtlinie ((EU) 2019/1151) 
entsprochen. In dieser Richtlinie wird 
in Art. 161 aber unmissverständlich 
klargestellt, dass bei der Umsetzung 
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die EU-Datenschutz-Grundverordnung 
beachtet werden muss. Dies bedeutet, 
dass auch bei der Verwirklichung von 
öffentlichen Interessen - hier der Wirt- 
schaftstransparenz - schutzwürdige In- 
teressen der Betroffenen beachtet wer- 
den müssen. Statt dies korrekt umzu- 
setzen, hat es sich die deutsche Verwal- 
tung einfach gemacht und die früheren 
dezentralen und bisher nur mit Aufwand 
zugänglichen Register - eins-zu-eins - 
ins Internet gestellt. Damit wird ein 
explizites Ziel der EU-Digitalisierungs- 
Richtlinie - die Verhinderung von Iden- 
titätsdiebstahl - konterkariert: Die 
teilweise sensiblen Daten können dazu 
verwendet werden sich online als ande- 
re Person auszuweisen, eignen sich zur 
Einrichtung von Fake-Accounts, Fake- 
Bestellungen und zu anderen kriminel- 
len Machenschaften bis hin zu persönli- 
chen Bedrohungen. Zur Zuordnung von 
wirtschaftlichen Verantwortlichkeiten 
sind diese sensiblen Informationen re- 
gelmäßig nicht erforderlich. Nicht nur 
das: Der Bundesgesetzgeber hat unter 
dem Vorwand der Umsetzung der DSGVO 
- etwa im Bereich des Vereinsregisters 


wem 
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(8 79a BGB) - die datenschutzrechtli- 
chen Betroffenenrechte wie z.B. den 
spezifischen Anspruch auf Auskunft 
oder aufWiderspruch ausgeschlossen. 
DVD-Vorsitzender Frank Spaeing er- 
läutert: „Gerade beim Vereinsregister 
werden mit der Online-Veröffentlichung 
viele Menschen gefährdet. Es wäre fatal, 
wenn durch die unbedachten Veröffent- 
lichungen diese von ihrem besonderen 
ehrenamtlichen Engagement abge- 
schreckt würden.” DVD-Vorstandsmit- 
glied Thilo Weichert ergänzt: „Die alte 
Bundesregierung hat die DSGVO in vie- 
ler Hinsicht unter Missachtung der eu- 
roparechtlichen Vorgaben umgesetzt. 
Eine zeitnahe Korrektur ist dringend 
nötig. Um kurzfristig den Missbrauch 
der Online-Daten zu verhindern, sollte 
den Betroffenen zumindest ein Wider- 
spruchsrecht bzgl. der Registerveröf- 
fentlichung besonders sensibler Ein- 
zelangaben eingeräumt werden.” DVD- 
Vorsitzender Frank Spaeing fordert: „Bis 
die Registerauskunft datenschutzkon- 
form umgesetzt ist, muss die Online- 
Plattform abgeschaltet oder zumindest 
im Zugang wieder beschränkt werden.” 
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online zu bestellen unter: www.datenschutzverein.de/dana 
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Datenschutznachrichten 


Datenschutznachrichten aus Deutschland 


Bund 


Registerveröffentlichung 
mit sensiblen Daten 


Auf der zentralen Registerplattform 
des Bundes „handelsregister.de” lassen 
sich seit dem 01.08.2022 sämtliche Ein- 
träge im Handels-, Genossenschafts-, 
Partnerschafts- und Vereinsregister per 
Webformular ohne weitere Beschrän- 
kungen abrufen. Die für die Allgemein- 
heit nun leicht zugänglichen Dokumen- 
te enthalten oft sensible persönliche 
Daten wie Adressen, Geburtsdaten, 
Bankverbindungen oder auch Unter- 
schriften. 

Bisher musste man sich für Auskünf- 
te beim Portalbetreiber Amtsgericht 
Hamm per Fax registrieren und für viele 
Dokumente auch Gebühren entrichten. 
Das Portal diente bisher als zentrale On- 
lineauskunft der deutschen Registerge- 
richte. Auf Grundlage des Gesetzes zur 
Umsetzung der Digitalisierungsrichtli- 
nie der EU, dessen Umsetzungsfrist am 
01.08.2022 ablief, wurde die Register- 
auskunft vereinheitlicht und die Zu- 
gangsbeschränkungen entfielen. Mit der 
Richtlinie will die EU die Gründung von 
Gesellschaften und die Verfügbarkeit von 
Registerinformationen vereinfachen. 

Ein Portal, in dem jeder Bürger mal 
schnell nachsehen kann, wer hinter ei- 
nem bestimmten Unternehmen oder ei- 
nem Verein steht, ist für die Transparenz 
förderlich. Doch scheint man sich bei der 
Umsetzung wenig Gedanken zum Daten- 
schutz gemacht zu haben: Vielen Daten- 
sätze enthalten private Daten oder Daten 
mit Missbrauchspotenzial. 

So sind in etlichen Dokumenten Un- 
terschriften nicht geschwärzt. Es finden 
sich private Anschriften im Klartext, 
häufig werden Geburtstage genannt. 
Bei Schriftsätzen von Vereinen sind 
auch im Klartext persönliche Konto- 
nummern enthalten und bei Bestäti- 
gungen von Notaren sind zum Teil die 
Verifikationsnummern des Personalaus- 
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weises enthalten. 

Die für das Portal - das vom Justiz- 
ministerium Nordrhein-Westfalen be- 
trieben wird - zuständige Datenschutz- 
behörde, die Landesbeauftragte für 
Datenschutz und Informationsfreiheit 
(LDI NRW), betonte, dass es das Portal 
schon länger gibt. Neu sei nur, „dass 
Abrufe aus dem Register nicht mehr 
kostenpflichtig sind und keine Nutzer- 
registrierung mehr vorgesehen ist.” Die 
LDI NRW verweist auf die rechtlichen 
Grundlagen, die sich aus einer Reihevon 
Paragrafen unter anderem des Handels- 
gesetzbuches (HGB) und der Handelsre- 
gisterverordnung ergeben. Insbesonde- 
re betont die Behörde unter Verweis auf 
Paragraf 10a HGB, das Portal diene „der 
Transparenz im Rechtsverkehr und der 
damit verbundenen Wirkungen gegen- 
über Dritten. Daher finden die Rechte 
nach der Datenschutzgrundverordnung 
grundsätzlich nur sehr eingeschränkt 
Anwendung.” Sie sieht, dass der neue 
Zugang zum Handelsregister „eine hö- 
here Sensibilität bei den Betroffenen 
ausgelöst hat, die sich um einen mög- 
lichen Missbrauch ihrer Daten sorgen” 
und regt daher an rechtliche Einschrän- 
kungen der freien Veröffentlichung aller 
Registerdaten im Netz im Interesse des 
Schutzes der betroffenen Personen zu 
erwägen, soweit europarechtliche Vor- 
gaben dem nicht entgegenstehen. 

Das Missbrauchspotenzial ist offen- 
sichtlich. Die Sicherheitsexpertin und 
„Krawall-Influencerin”“ Lilith Wittmann 
kündigte an eine Programmierschnitt- 
stelle (APT) für das Handelsregister-Por- 
talzu bauen, mit dereinfach und schnell 
viele - auch sensible - Inhalte aus dem 
Portal abgerufen werden können. 

Der Justiziar und Datenschutzbeauf- 
tragte des Heise-Verlags Joerg Heidrich 
erklärte: „Ich halte das für ein krasses 
Versagen des Gesetzgebers bei der Ab- 
wägung zwischen berechtigten Forde- 
rungen nach Transparenz auf der einen 
und den Rechten der Betroffenen auf 
der anderen Seite.” Das Portal sei gut 


mit dem Domain-Register vergleichbar, 
meint Heidrich: „Dort sind die Einträge 
ja auch nicht öffentlich einsehbar und 
nur ausnahmsweise mit berechtigtem 
Interesse abrufbar. Warum die Ungleich- 
behandlung?” (Bager, Handelsregister. 
de: Onlineabfrage verrät private Daten, 
www.heise.de 05.08.2022, Kurzlink: 
https://heise.de/-7202516),dazuauch: 
Pressemitteilung der DVD auf der vori- 
gen Seite. 


Bund 


BfDI leitet Verfahren 
wegen behördlicher 
Facebook-Fanpage ein 


Der Bundesbeauftragte für den Da- 
tenschutz (BfDI), Ulrich Kelber, hat am 
03.06.2022 dem Bundespresseamt (BPA) 
ein Anhörungsschreiben zukommen las- 
sen, in dem die Behörde Stellung neh- 
men soll zu der Fanpage, die sie für die 
Bundesregierung auf Facebook betreibt. 
Knapp ein Jahr zuvor hatte der BfDI die 
Bundesbehörden aufgefordert ihre Fa- 
cebook-Fanpages abzuschalten, da die- 
se nicht datenschutzkonform betrieben 
werden könnten. Dabei kündigte er an ab 
Januar 2022 die Nutzung von Facebook- 
Fanpages durch die Bundesbehörden 
prüfen zu wollen. Gespräche mit dem 
Bundespresseamt und Facebook haben 
nach Angaben von Kelbers Behörde zu 
keiner Lösung der datenschutzrechtli- 
chen Probleme geführt. 

Der BfDI hatte bereits in einem Rund- 
schreiben an die Ministerien und Behör- 
den im Mai 2019 darauf hingewiesen, 
dass ein datenschutzkonformer Betrieb 
einer Facebook-Fanpage zurzeit nicht 
möglich sei. Öffentliche Stellen mit einer 
solchen Fanpage müssten mit Facebook 
„eine Vereinbarung zur gemeinsamen 
Verantwortlichkeit schließen, die den 
Anforderungen von Art. 26 Datenschutz- 
Grundverordnung (DSGVO) entspricht“. 
Daraufhin hätten einzelne Ressorts, die 
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Fanpages betreiben, geantwortet, dass 
sie diese als ein wichtiges Element ih- 
rer Öffentlichkeitsarbeit ansehen. Mit 
Datum vom 30.03.2022 untermauerte 
Kelber seine Ansichten mit einem Gut- 
achten der Datenschutzkonferenz (DSK) 
zur (fehlenden) datenschutzrechtlichen 
Konformität des Betriebs von Facebook- 
Fanpages. Zuvor - im Jahr 2011 (!) - hat- 
te schon das Unabhängige Landeszen- 
trum für Datenschutz Schleswig-Hol- 
stein (ULD) versucht öffentlichen und 
nicht-öffentlichen Stellen den Betrieb 
von Facebook-Fanpages zu untersagen. 
Nach einer Odyssee über sechs Gerichts- 
Instanzen einschließlich des Europäi- 
schen Gerichtshofs (EuGH) obsiegte das 
ULD letztlich beim Oberverwaltungsge- 
richt Schleswig-Holstein mit Urteil vom 
25.11.2021 (Az 4 LB 20/13) ohne aber 
eine rechtliche Handhabe gegen den 
Weiterbetrieb der Fanpages in die Hand 
zu bekommen. 

Kelber hatte abgewartet, wie die Ver- 
handlungen mit dem BPA ausgehen. 
Facebook habe dem BPA nur das öffent- 
lich bekannte „Addendum“ von Oktober 
2019 übersandt; das ist nach Ansicht 
vom Kelber unzureichend. Wegen des 
ungenügenden Addendums hatte die 
grüne Bundestagsfraktion Facebook 
verklagt und Auskunft sowie eine um- 
fassende Vereinbarung eingefordert. 
Das angerufene Landgericht Hamburg 
erklärte sich dreieinhalb Jahre nach 
Klageerhebung aber mit Urteil vom 
17.05.2022 für unzuständig. Zuständig 
seien die Gerichte in Irland, wo Face- 
book seine europäische Hauptnieder- 
lassung hat (Az. 307 0 285/18). 

Der BfDI beruftsich u.a. aufden EuGH, 
der in seinem Urteil vom 16.07.2020 
zum Privacy Shield (DANA 3/2020, 
199 ff.) klargestellt hat, dass personen- 
bezogene Daten von EU-Bürgern nur 
an Drittstaaten außerhalb des Europä- 
ischen Wirtschaftsraums übermittelt 
werden dürfen, wenn sie dort gleich- 
wertigen Schutz genießen wiein der EU. 
Für die USA hat er ein solches angemes- 
senes Schutzniveau verneint; dort hat 
Facebook seinen Sitz. 

Eine Anhörung ist die erste Stufe in 
einem förmlichen Aufsichtsverfahren. 
Der BfDI erläuterte: „Das Gesetz regelt 
hierzu keine starre Frist.” Stattdessen 
können die Fristen für die Anhörung 
durch die Fachreferate des BfDI be- 
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stimmt werden, in der Regel betragen 
sie einen Monat. Die dann eingegan- 
gene Stellungnahme wird geprüft, an- 
schließend entscheidet der BfDI, ob 
eine verwaltungsrechtliche Aufsichts- 
maßnahme notwendig ist. Das kann ein 
Verbot der Verarbeitung von Daten oder 
ihrer Übermittlung an einen Empfän- 
ger in einem Drittland sein. Nach 8 43 
BDSG sind Geldbußen gegen Behörden 
und sonstige öffentliche Stellen aus- 
geschlossen. Anders als bei Unterneh- 
men kann der BfDI nach einer Anfech- 
tungsklage einer Behörde gegen eine 
Aufsichtsmaßnahme keinen sofortigen 
Vollzug anordnen. Das heißt, dass sich 
die Angelegenheit noch lange Zeit hin- 
ziehen kann (Wilkens, Facebook-Fan- 
page: Datenschutzbeauftragter eröffnet 
Verfahren gegen Bundesbehörde, www. 
heise.de 06.06.2022, Kurzlink: https:// 
heise.de/-7132768). 


Bund 


Behördliche Kontendaten- 
abrufe steigen weiter 


Die Zahl der Kontendatenabrufe zur 
Ermittlung von Steuervergehen und 
anderen säumigen Zahlern durch Fi- 
nanzämter, Sozialbehörden und Ge- 
richtsvollzieher ist in den vergangenen 
Jahren kontinuierlich gestiegen und 
hat laut Bundesfinanzministerium im 
Jahr 2021 1,14 Mio. Kontenabrufe er- 
reicht. Davon entfiel der größte Teil 
mit insgesamt 853.317 oder 85% der 
Abfragen auf Vollstreckungsverfahren. 
Die Finanzämter führten 146.344 Ab- 
rufe durch. Die Zahl der Anfragen durch 
Polizei- und Verfassungsschutzbehör- 
den lag 2021 bei knapp 1000. Gemäß 
der Antwort der Bundesregierung auf 
eine Anfrage der CDU/CSU-Bundestags- 
fraktion (BT-Drs. 20/2751) überschritt 
die Anzahl der Anfragen 2020 erstmals 
knapp die Millionengrenze, 2019 waren 
es 915.257 Fälle. 

Die Unionsfraktion stellte in ihrer 
Anfrage „Fragen zur Verhältnismäßig- 
keit und Rechtfertigung” des gesamten 
Verfahrens angesichts der annähernden 
Vervierfachung der Abrufzahlen seit 
2015. Unter ihrer Regierungsbeteili- 
gung wurde das 2005 von Rot-Grün ein- 
geführte Verfahren auf Gerichtsvollzie- 


her ausgeweitet. Mittlerweile können 
diese Einblicke in die Stammdaten bei 
säumigen Gläubigern schon bei Sum- 
men unter 500 € erfolgen. Die Bundes- 
regierung räumt ein keine Erkenntnisse 
über die mit den Kontenabfragen erziel- 
ten Ergebnisse zu haben. Das Bundes- 
zentralamt für Steuern führt die Kon- 
tenabfragen zentral durch und gibt die 
Daten an die legitimierten Behörden in 
den Bundesländern weiter. Diese teilen 
dem Bund nicht ihre Ergebnisse mit. Da- 
her könne die Bundesregierung „keine 
Aussage” zum Verhältnis der Abfrage- 
fallzahlen zum Ergebnis der Verfahren 
treffen. 

Laut der Bundesregierung sind 2021 
für Verfahrenspflege und Modernisie- 
rung Kosten von 993.331 € angefallen. 
Dafür habe das IT-Dienstleistungszen- 
trum des Bundes zudem 909 interne 
Personentage verbucht, was weitere 
334.893 € ausmache. Dazu kommen die 
Kosten für die mit den Verfahren be- 
schäftigten Mitarbeiter. Informationen 
über die Höhe der Erträge, die sich aus 
eventuellen Ermittlungserfolgen auf- 
grund einer Kontenabfrage ergaben, lä- 
gen nicht vor. Der Bundesdatenschutz- 
beauftragte Ulrich Kelber sah die jähr- 
lich rasant wachsende Nachfrage schon 
2020 kritisch: Jeder Kontenabruf sei ein 
Eingriff in das Grundrecht auf informa- 
tionelle Selbstbestimmung. Der Daten- 
schützer bezweifelte, ob das Werkzeug 
noch verhältnismäßig eingesetzt wer- 
de, und forderte die Bundesregierung 
nachdrücklich auf das Instrument zu 
evaluieren (DANA 2/2020, 114; Krempl, 
Gläserner Bankkunde: Über eine Milli- 
on behördlicher Kontenabfragen, www. 
heise.de 26.07.2022, Kurzlink: https:// 
heise.de/-7190523). 


Bundesweit 


Datenschützer planen Ini- 
tiative gegen Adresshandel 


Die hiesige Direktmarketing-Branche 
ist über ein Vorhaben der Datenschutz- 
beauftragten von Bund und Ländern be- 
unruhigt eine klare gemeinsame Ansage 
gegen den hinter vielen zielgerichteten 
postalischen Kundenansprachen ste- 
henden Adresshandel vorzunehmen. 
Eine große Mehrheit der deutschen 
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Aufsichtsbehörden, mehr als zehn von 
ihnen, sehen dabei die Datenschutz- 
Grundverordnung (DSGVO) auf ihrer 
Seite. 

Baden-Württembergs Datenschutzbe- 
auftragter, Stefan Brink, meinte, viele 
Bürger wollten „eben nicht mehr mit 
unerwünschter, nicht angeforderter 
sogenannter Verbraucherinformation 
konfrontiert und belästigt werden“. 
Die DSGVO sehe vor, dass Konsumenten 
informiert werden müssen, wenn ihre 
Adresse verkauft wird. Sie müssten aus- 
drücklich in diese Praxis einwilligen: 
„Informiert heißt in diesem Zusammen- 
hang, dass sie unaufgefordert und vorab 
darüber aufgeklärt werden müssen, wer 
welche Informationen zu welchen Zwe- 
cken haben möchte und ob dabei auch 
personenbezogene Daten wie Adressda- 
ten weitergegeben werden sollen und 
wie lange sie genutzt werden sollen.” 
Diese Aufklärungspflicht sei „eine ech- 
te Hürde.” Hier müsse nun jeder, „der 
Adresshandel betreiben will, richtig 
liefern. Der Verbraucher muss das Recht 
haben werbefrei zuleben.” Nach Ansicht 
der Datenschützer wissen die Empfän- 
ger von Werbeschreiben oft nicht, wer 
alles ihre Anschrift und nicht ganz so 
geheime Vorlieben kennt und wofür die- 
se Informationen genutzt werden. 

Die Datenschutzbeauftragten wollen 
offenbar die umstrittene Praxis weitge- 
hend untersagen. Die Berliner Daten- 
schutzbehörde ließ gemäß Pressebe- 
richten durchblicken, man arbeite an 
einem Beschluss, um bundesweit ein- 
heitlich aufzutreten. Dem stünden im 
Grunde nur noch die Kollegen in Nord- 
rhein-Westfalen entgegen. Diese hiel- 
ten den Adresshandel in der bisherigen 
Form weiter für zulässig. In dem Bun- 
desland sitzen mit Tochterfirmen von 
Bertelsmann und der Deutschen Post 
zwei der größten deutschen Branchen- 
vertreter. Das Treiben von Post Direktim 
Bundestagswahlkampf 2017 beschäftig- 
te bereits die Aufsicht. Sowohl die Post 
als auch Bertelsmann betonten, dass sie 
davon ausgehen, dass ein berechtigtes 
Interesse für den Adresshandel ausrei- 
chend sei. 

Vor der direkten Anwendbarkeit der 
DSGVO 2018 durften Adressen von 
Verbrauchern recht einfach gehan- 
delt werden. Ein Unternehmen, das 
die Privatadresse eines Verbrauchers 
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hatte, konnte diese ungehindert wei- 
terverkaufen, wenn der Käufer sie für 
Werbebriefe nutzen wollte. Diese we- 
nig geliebten Schreiben enthalten z.B. 
Preisausschreiben und Verlosungen, um 
an weitere Anschriften von Kunden und 
werberelevante Informationen über sie 
zu kommen. 

Der Präsident des Deutschen Dia- 
logmarketingverbands (DDV), Patrick 
Tapp, warnte angesichts des drohen- 
den Verbots vor schwerwiegenden wirt- 
schaftlichen Folgen, denn „selektierte 
Briefwerbung“ sei „ein wichtiger Motor 
für die europäische Volkswirtschaft”. 
So könne ein regionaler Anbieter von 
Wärmepumpen mithilfe des Adress- 
handels Menschen ansprechen, die in 
Häusern wohnen, für die seine Produkte 
geeignet seien. Der DDV schätzt, dass 
es allein in Deutschland mehr als 1.000 
Adresshändler gibt. Die laut geworde- 
nen Ansichten deutscher Landesdaten- 
schützer seien nichts weiter als eine 
von vielen Rechtsmeinungen, weiter- 
gehende Änderungen könnten nur auf 
EU-Ebene erfolgen. Der DDV geht davon 
aus, dass Direktmarketer neben den Ad- 
ressen weitere Merkmale speichern dür- 
fen wie Alter, Beruf oder Angaben zur 
gemieteten oder gekauften Wohnung. 
Gerade für junge Unternehmen sei es 
für die Kundenakquise wichtig passge- 
nau Werbung per Post zu verschicken. 
Dies setzt laut Brink aber voraus, „dass 
die Werbeindustrie dieWünsche und die 
Vorlieben des Verbrauchers auch kennt, 
also zuvor sogenannte Profile mit Inte- 
ressen und bisherigem Kaufverhalten 
anlegt. Niemand muss sich zu Werbe- 
zwecken vorab durchleuchten lassen.” 

Unterstützung bekommen die Daten- 
schützer vom Verbraucherzentrale Bun- 
desverband (vzbv). Florian Glatzner, 
Referent im Team Digitales und Medien, 
meinte: „Verbraucher gehen nicht da- 
von aus, dass ein Unternehmen unge- 
fragt ihre Daten an andere, völlig fremde 
Unternehmen verkauft und sie von die- 
sen anderen Unternehmen dann plötz- 
lich unerwünscht Werbung bekommen.” 

Eine lange umkämpfte Reform des 
Bundesmeldegesetzes von 2013 sieht 
bereits vor, dass zumindest Einwoh- 
nermeldeämter persönliche Daten der 
Bürger nur dann an Firmen für Werbung 
und Adresshandel weitergeben dürfen, 
wenn die Betroffenen ausdrücklich 


eingewilligt haben. Die Bürger können 
generell gegenüber der Meldebehörde 
oder gesondert gegenüber Unterneh- 
men zustimmen. Die Ämter sollen in 
Stichproben oder anlassbezogen prüfen, 
ob eine Einwilligungserklärung vorliegt 
(Wischmeyer, Bitte keine Werbung, SZ 
04.05.2022; Krempl, Direktmarketing: 
Datenschützer planen weitgehendes 
Adresshandelsverbot,  www.heise.de 
05.05.2022, Kurzlink: https://heise. 
de/-7075325). 


Bundesweit 


vzbv verklagt Tesla wegen 
Wächtermodus 


Der Verbraucherzentrale Bundesver- 
band (vzbv) hat gegen den US-amerika- 
nischen Elektroautohersteller Tesla vor 
dem Berliner Landgericht Klage erhoben, 
weil das Unternehmen gegenüber seiner 
Kundschaft verschweigt, dass es gegen 
die Datenschutz-Grundverordnung (DS- 
GVO) verstößt, wenn es in seinen Autos 
den Wächtermodus nutzt. Außerdem 
soll Tesla mit Werbeaussagen zur CO,- 
Ersparnis in die Irre führen. In dem seit 
2019 von Tesla angebotenen „Wächter- 
modus” oder „Sentry Mode“ zeichnet das 
geparkte Auto Videos von der Umgebung 
auf, wenn es eine auffällige Bewegung 
feststellt. Wechselt ein Tesla-Auto derart 
in den „Alarm”-Zustand, erhalten die Be- 
sitzer eine Warnung aufihrer Tesla-App. 

Dabei müssten sich die Tesla-Nutzen- 
den von den Menschen, die zufälliger- 
weise erfasst werden, einwilligen lassen, 
dass deren personenbezogenen Daten 
verarbeitet werden dürfen, meint Heiko 
Dünkel, der im vzbv das Team Rechts- 
durchsetzung leitet: „Wer die Funktion 
nutzt, verstößt daher gegen das Daten- 
schutzrecht und riskiert ein Bußgeld.” 
Im Grunde könne der Wächtermodus 
im öffentlichen Raum überhaupt nicht 
rechtskonform genutzt werden, da die 
Fahrzeugumgebung anlasslos aufge- 
zeichnet wird. 

Der vzbv kritisiert, dass dennoch der 
Wächtermodus für deutsche Straßen 
zugelassen sei. Um Lücken im Zulas- 
sungsverfahren zu schließen, müssten 
der Bundesdatenschutzbeauftragte und 
das Kraftfahrt-Bundesamt stärker zu- 
sammenarbeiten. Geprüft werden müsse, 
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so Marion Jungbluth, die im vzbv das 
Team Mobilität und Reisen leitet, ob eine 
Pflicht zur Datenschutz-Folgenabschät- 
zung eingeführt werden sollte. 

Der vzbv hatte Tesla im Dezember 2021 
abgemahnt und eine Teil-Unterlassungs- 
erklärung zu mehreren Klauseln in der 
Datenschutzerklärung des Unterneh- 
mens erhalten. Der Wächtermodus blieb 
offenbar dabei aus Sicht der Verbrau- 
cherschützer zu wenig berücksichtigt. 

Zudem beanstandet der vzbv Teslas 
Werbeaussage, das Elektroauto Model 3 
stoße „O g/km” CO, aus, sowie das „Tesla- 
Credo”: „Je schneller wir unsere Abhän- 
gigkeit von fossilen Brennstoffen über- 
winden und eine emissionsfreie Zukunft 
verwirklichen, desto besser.” Damit wird, 
so der vzbv, Teslas Emissionshandel ausge- 
blendet. Das Unternehmen habe allein im 
Jahr 2020 rund 1,6 Milliarden US-Dollar 
durch den Verkaufvon „Emission Credits” 
eingenommen, womit andere Herstel- 
ler die Grenzwerte ihrer Fahrzeugflotten 
überschreiten könnten. Über den Verkauf 
der Emissionsrechte informiere das Unter- 
nehmen, so der vzbv, vor einer Bestellung 
eines Fahrzeugs nur auf Seite 30 des auf 
Englisch verfassten Umweltverträglich- 
keitsberichts, der auf der Website herun- 
tergeladen werden konnte. 

Zum Wächtermodus hatte bereits das 
Netzwerk Datenschutzexpertise im Ok- 
tober 2020 befunden, dass deshalb Tesla- 
Autos in Europa eigentlich nicht zugelas- 
sen werden dürften. Tesla hatte hierfür 
im selben Jahr den BigBrotherAward in 
der Kategorie Mobilität erhalten. In die- 
sem Jahr versandte der Sicherheitschef 
der Berliner Polizei ein Schreiben an 
die Dienststellen, laut dem Aufnahmen 
durch den Wächtermodus in Tesla-Autos 
auf Liegenschaften der Polizei nicht zu- 
lässig sein sollen (vgl. in diesem Heft 
S. 185 sowie DANA 4/2020, 227 ff.; Wil- 
kens, Verbraucherschützer verklagen 
Tesla wegen Wächtermodus und Wer- 
bung, www.heise.de 19.07.2022, Kurz- 
link: https://heise.de/-7183240). 


Bundesweit 


Digitalcourage klagt gegen 
DB Navigator 


Ohne die Smartphone-App „DB Na- 
vigator” ist erfolgreiches Zugfahren in 
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Deutschland kaum noch möglich. Sie 
bietet Information über Verspätungen 
und Anschlusszüge, Ticketkauf an Bord 
und mehr. Einige Services sind auf an- 
derem Wege gar nicht mehr zu bekom- 
men. Die App forscht zugleich die Nut- 
zenden aus. Der IT-Sicherheitsforscher 
Mike Kuketz hat den DB Navigator 
gründlich analysiert und dabei erhebli- 
che Datenschutzprobleme festgestellt. 
Wenn die App genutzt wird, fließen im 
Hintergrund Informationen an Adobe, 
Google und Co. Die DB-App lässt es nicht 
zu diese abzuschalten. Der auf IT- und 
Datenschutzrecht spezialisierte Anwalt 
Peter Hense hält die App deshalb für 
rechtswidrig. Der Datenschutzverein 
Digitalcourage e.V. hat gemeinsam mit 
den Vorgenannten die Bahn Ende April 
2022 dazu aufgefordert die Mängel in- 
nerhalb von zwei Monaten zu entfernen. 
Doch die Bahn signalisierte, dass sie das 
Tracking nicht beenden will. Deshalb 
kündigte Digitalcourage eine gerichtli- 
che Klage an. 

Die Deutsche Bahn (DB) wehrt sich 
gegen die Vorwürfe. Die Kritik an der 
Reiseauskunfts- und Buchungsanwen- 
dung sei „haltlos“. Bei der App-Nutzung 
flößen „keinerlei Kundendaten an Dritt- 
anbieter”. Alle Dienstleister, mit denen 
man bei der App zusammenarbeite, so 
die DB, „sind vertraglich gebunden, 
handeln nicht in eigenem Interesse und 
streng nach Weisung der DB“. Es handle 
sich so nicht um Dritte im Sinne der Da- 
tenschutz-Grundverordnung (DSGVO): 
„Alle Technologieanbieter, die im DB 
Navigator in der Kategorie ‚erforderlich‘ 
aufgelistet sind, verarbeiten Daten aus- 
schließlich zu den Zwecken die vielfäl- 
tigen Funktionen und die Stabilität der 
App für mehr als zwei Millionen Kunden 
täglich zu gewährleisten.” Dabei sei- 
en „keine identifizierenden personen- 
bezogenen Informationen“ im Spiel, 
sondern nur pseudonymisierte. Diese 
stellten sich „für den einzelnen Anbie- 
ter isoliert” sogar als „anonyme Daten- 
inhalte” dar. 

Keiner der US-Partner wie Adobe, 
Google oder Optimizely sei in der Lage 
„die Daten an anderer Stelle oder gar 
zu eigenen Marketingzwecken einzu- 
setzen”. Ein Webseiten- oder App-über- 
greifendes Nachverfolgen von Kunden 
mit den umstrittenen Cookies sei nicht 
möglich. Der Konzern lege generell 


„großen Wert auf die sparsame Erhe- 
bung und den sorgsamen Umgang” mit 
Kundendaten. Man habe zu den Be- 
denken von Digitalcourage detailliert 
Stellung genommen und ein Gespräch 
angeboten, heißt es weiter. Darauf habe 
der Verein aber nicht reagiert. Eine 
Sprecherin hob hervor: „Wir nehmen 
die jüngsten Öffentlichkeitswirksamen 
Aktivitäten daher mit Befremden zur 
Kenntnis.” Konzernexperten stünden 
ferner in engem Austausch mit den zu- 
ständigen Datenschutzbehörden. 

Mike Kuketz, der im Rahmen einer 
technischen Analyse der Navigator-App 
die Tracker ausfindig gemacht hatte, 
zeigte sich dagegen erstaunt, „dass es 
große Konzerne wie die DB nicht schaf- 
fen dem Thema Datenschutz mit der ge- 
botenen Ernsthaftigkeit zu begegnen“. 
Dabei seien bei diesen die Ressourcen 
dafür vorhanden. Der Verweis auf die 
Definition von „Dritten“ in der DSGVO 
lenke die Diskussion nur um auf einen 
gar nicht beanstandeten Sachverhalt. 
Der Experte bietet in einem Blogeintrag 
Tipps, wie sich das „Datensendeverhal- 
ten” zumindest von Android-Apps be- 
einflussen und unerwünschtes Tracking 
so verhindern lässt. Er verwies auch auf 
eine Analyse der „Stiftung Warentest“, 
wonach es die Bahn-App mit dem Daten- 
schutz „nicht so genau” nimmt. Darüber 
erfolgende Transfers persönlicher Infor- 
mationen seien „kritisch“ einzustufen 
(Digitalcourage e.V., DB-Schnüffel- 
Navigator Wir klagen gegen die Bahn, 
E-Mail v. 20.07.2022; Krempl, Deutsche 
Bahn: Kritik von Datenschützern am 
DB Navigator ist „haltlos”, www.heise. 
de 23.07.2022, Kurzlink: https://heise. 
de/-7188327). 


Bundesweit 


Schufa bewegt sich - 
langsam 


Die Schufa - die Schutzgemeinschaft 
für allgemeine Kreditsicherung - hat 
ein Image-Problem, weil sie ein Daten- 
schutzproblem hat. Dies beruht u.a. 
darauf, dass sie bisher äußerst intrans- 
parent agiert. Sie beeinflusst mit ihren 
Kreditbewertungen den Alltag von vie- 
len Menschen in Deutschland, legt aber 
z.B. nicht die Formeln zur Berechnung 


181 


der „Schufa-Scores” offen, die darüber 
entscheiden, ob und wie Menschen im 
Wirtschaftsleben unterwegs sein kön- 
nen. Die Auskunftei ist keine öffentli- 
che Stelle, wie viele meinen. Sie ist eine 
Aktiengesellschaft mit verschiedenen 
Anteilseignern, darunter Sparkassen 
und Genossenschaftsbanken, Kredit- 
und Privatinstitute sowie Händler. Mehr 
als eine Milliarde Informationen hat die 
Schufa nach eigenen Angaben gespei- 
chert, zu rund 68 Millionen Menschen 
in Deutschland. Daraus berechnet das 
Unternehmen die berüchtigten Scores, 
die Vertragspartnern wie Banken und 
Händlern Aufschluss über die Bonität 
ihrer Kunden geben sollen. Wie wahr- 
scheinlich ist es, dass ein Kunde seinen 
Kredit abbezahlt? Drohen Ausfälle beim 
Ratenkauf? 


« Mehr Transparenz 


Von dem schlechten Image will sich die 
Schufa lösen und hat erste Schritte einer 
angekündigten Transparenzoffensive 
umgesetzt: Der Auftritt im Netz wurde 
rundum erneuert; neue Tools sollen Ver- 
brauchern das Zustandekommen ihrer 
Scores besser erklären. Daneben gibt es 
einen Video-Chatbot, der sämtliche Fra- 
gen beantworten will. Die Möglichkeit, 
seine Daten kostenlos einzusehen, hebt 
die Schufa neuerdings besser hervor. 

Die Auskunftei listet nun auf, wel- 
che Faktoren die Bonitäts-Punktzahl 
beeinflussen. Dazu zählen die Zahl der 
Girokonten und Kreditkarten, Konten 
bei Versandhändlern und Leasingver- 
träge, nicht jedoch Handyverträge. Sie 
gibt Tipps auf der Seite, wie Verbraucher 
ihren Score verbessern können, wenn- 
gleich diesnoch wenig konkret ist. So rät 
die Schufa etwa zu überprüfen, welche 
Girokonten und Kreditkarten überflüssig 
sind. Deren Kündigung könne den Score 
langfristig erhöhen. Übersehene Rech- 
nungen und Ratenzahlungen sollten 
schnellstmöglich beglichen werden. 

In der Vergangenheit hatte die Aus- 
kunftei stets argumentiert, dass Details 
zur Score-Berechnung ihre Geschäftsge- 
heimnisse offenlegen würden. Daneben 
erklärte sie, sie wolle verhindern, dass 
Nutzer ihr finanzielles Verhalten spezi- 
ell für einen guten Score anpassen. Ver- 
braucherschützer haben die Argumente 
aber nie überzeugt. So meint Gert Wag- 
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ner vom Sachverständigenrat für Ver- 
braucherfragen: „Ist das Verhalten ur- 
sächlich für die Kreditwürdigkeit, dann 
ist eine Verhaltensänderung ja keine 
Manipulation, sondern erwünscht.” 
Heute ist von Geschäftsgeheimnissen 
und Score-Manipulation zumindest offi- 
ziell keine Rede mehr. Eine Transparenz 
der genauen Scoreberechnung wird wei- 
terhin nicht gewährt. 

An die gemäß der Datenschutz- 
Grundverordnung (DSGVO) kostenlose 
Datenkopie kommen Nutzer jetzt leich- 
ter. Die Option findet sich direkt auf der 
Startseite. Bisher verdiente die Schufa 
mit kostenpflichtigen Auskünften viel 
Geld, weshalb sie die Betroffenen bis- 
lang lieber in ihre kostenpflichtigen An- 
gebote, darunter die klassische Schufa- 
Auskunft oder ein Online-Abonnement 
mit Live-Scores, lockte. Dass Nutzer ei- 
nen kostenfreien Datenabzug bestellen 
können, hatte die Auskunftei hingegen 
hinter zahlreichen Klicks verborgen. Die 
Schufa erklärte: „Die Kritik, die kosten- 
lose Datenkopie ‚zu verstecken‘, haben 
wir aufgenommen.” 

Zudem hat sich die Auskunftei vorge- 
nommen in einfacher Sprache zu kom- 
munizieren, so Schufa-Vorstandschefin 
Tanja Birkholz: „Wir wollen weg von der 
unnahbaren Instanz, hin zu einem Di- 
alog auf Augenhöhe.” Den Anfang soll 
ein Video-Chatbot machen. Nutzer kön- 
nen eine beliebige Frage stellen und be- 
kommen ein Video ausgespielt, in dem 
Mitarbeiter die passenden Antworten 
liefern sollen. Der Video-Chatbot befin- 
det sich allerdings noch in der Lernpha- 
se. Mit zunehmender Nutzung sollen die 
Antworten treffsicherer werden. 


* Ökonomische Hintergründe 


Ganz freiwillig sind die Bemühungen 
nicht. Die Transparenzoffensiveistnötig 
geworden, nachdem sich die Auskunftei 
zunehmendem Druck ausgesetzt sieht. 
Es gibt harsche Kritik von Daten- und 
Verbraucherschützern am umstrittenen 
Projekt „CheckNow“, womit die Schufa 
in bestimmten Fällen die Verbraucher 
auch anhand ihrer Kontoauszüge be- 
werten wollte, was letztlich aufgegeben 
wurde (DANA 1/2021, 40 ff.). Ein Bie- 
terwettstreit um die Schufa heizte den 
Reformwillen an (DANA 4/2021, 240 ff). 
Der schwedische Investmentfonds EQT 


verfolgte das Ziel bis zu 100% der An- 
teile am Unternehmen zu kaufen. Ur- 
sprünglich hatten die Schweden mit der 
französischen Großbank Societ& Gen6- 
rale vereinbart deren Anteil von knapp 
10% zu übernehmen. Die genossen- 
schaftliche Teambank wollte den Ein- 
stieg verhindern und ihre bestehende 
Minderheitsbeteiligung aufstocken. Sie 
gehört zur DZ-Bank-Gruppe, bei der die 
Anteile der Volks- und Raiffeisenban- 
ken an der Schufa gebündelt sind. Sie 
haben als Bestandsaktionäre ein Vor- 
kaufsrecht für die Anteile. Das Bundes- 
kartellamt hatte beide Vorhaben bereits 
freigegeben. Die neuen Kaufinteressen- 
ten und der Schufa-Vorstand überboten 
sich im Rahmen des Bieterstreits mit 
Versprechungen zur Datenschutz- und 
Verbraucherfreundlichkeit. Vor allem 
EQT gab sich als Reformer. Mit Strategie- 
papieren, an denen auch Verbraucheror- 
ganisationen mitgewirkt haben sollen, 
machte der Investor großzügige Ankün- 
digungen: Verbraucher sollen etwa kos- 
tenlos Daten und Löschfristen in einer 
Handy-App einsehen können. Anfang 
Juli 2022 kam dann die Nachricht, dass 
der Übernahmeplan von EQT gescheitert 
ist. Die Genossenschaftsbanken haben 
ihr Vorkaufsrecht ausgeübt und damit 
ihren Schufa-Anteil auf 27,2% ausge- 
baut. Bei den Sparkassen liegen 26,4%; 
sie wollen weiter aufstocken. Ob dies 
nun den Reformeifer bremst, muss sich 
zeigen. 

Nicht zuletzt greifen auch Gerich- 
te und Behörden immer wieder in das 
Geschäftsmodell der Wirtschaftsaus- 
kunfteien ein (DANA 2/2021, 142). Im 
September 2021 stellte z.B. die Daten- 
schutzkonferenz, der Zusammenschluss 
der Aufsichtsbehörden aus Bund und 
Ländern, klar, dass Handyvertragsda- 
ten ohne Einwilligung nicht gespeichert 
werden dürfen (DANA 1/2022, 34). 


« Kommentar des Verbraucherschutzes 


Mathias Hufländer, Rechtsexperte bei 
der Verbraucherzentrale Bremen, sieht 
in den jüngsten Bemühungen einen 
Schritt in die richtige Richtung, insbe- 
sondere bei der kostenlosen Datenko- 
pie: „Wir hatten diesbezüglich häufiger 
Anfragen von Verbrauchern, die nur das 
kostenpflichtige Angebot gefunden ha- 
ben. Dies dürfte sich damit erledigen.” 
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Die Erklärungen zum Scoring ge- 
hen ihm noch nicht weit genug: „Die 
Verbraucher müssen erfahren, welche 
Faktoren ihr Scoring konkret und in 
welcher Form beeinflussen.” Es brauche 
zudem klare gesetzliche Regelungen, 
welche Informationen beim Scoring be- 
rücksichtigt werden dürfen. Man dürfe 
sich nicht allein auf die freiwilligen Be- 
mühungen der Auskunftei verlassen. 

Von der Schufa heißt es wiederum: 
„Weitere Schritte zu mehr Transpa- 
renz sind in Planung.” Das Herzstück 
der Transparenzoffensive lässt noch 
auf sich warten. Die Schufa will einen 
Score-Simulator bereitstellen. Nach bis- 
herigen Planungen soll dieser zunächst 
verschiedene Merkmale abfragen. Etwa: 
Wann wurde das erste Bankkonto eröff- 
net? Oder: Wie viele Kreditkarten besitzt 
derNutzer? Anschließend berechnet der 
Simulator den ungefähren Schufa-Score 
des Nutzers und zeigt ihm zusätzlich, wo 
erim Vergleich zu den anderen Bundes- 
bürgern steht. Der Simulator soll Ver- 
brauchern zudem erklären, wie sich der 
Score im Laufe der Zeit verändern wird. 
Konkret bedeutet das: Nach wie vielen 
Monaten ist der Score wieder auf dem 
Ursprungsniveau, wenn ein Verbraucher 
etwa ein zusätzliches Girokonto eröffnet 
(Meyer, Die Schufa lüftet ihr Geheimnis, 
Die Welt, 21.04.2022, 10; Banken kont- 
rollieren Schufa, SZ 01.07.2022, 21). 


Baden-Württemberg 


Untersuchungsausschuss 
wegen Strobls Durchsteche- 
rei an Journalisten 


Der Landtag von Baden-Württemberg 
hat einen Untersuchungsausschuss zur 
Klärung der Affäre um die Weitergabe 
vertraulicher Informationen durch In- 
nenminister Thomas Strobl (CDU) ein- 
gesetzt. Sowohl Regierung als auch Op- 
position stimmten dafür. Der Ausschuss 
sollauch Hintergründe zum Vorwurf des 
sexuellen Missbrauchs gegen den Ins- 
pekteur der Polizei, ranghöchster Poli- 
zist des Landes, in diesem Zusammen- 
hang aufklären. 

Der SPD-Abgeordnete Sascha Binder 
begründete den Antrag der Oppositi- 
onsfraktionen SPD und FDP: „Polizei- 
beamte haben ein Recht darauf, dass 
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sich auch ihre Führung an Recht und 
Gesetz hält”. Die Frage sei, ob es schon 
Machtmissbrauch gewesen sein könn- 
te den von Strobl favorisierten Beam- 
ten zum Polizeiinspekteur zu machen. 
Strobl soll sich im Vorfeld für den dann 
beschuldigten Mann starkgemacht ha- 
ben. FDP-Fraktionschef Hans-Ulrich 
Rülke: „Der Innenminister hat offenbar 
einiges zu verbergen. Das schreit nach 
einem Untersuchungsausschuss.” Auch 
die Regierungsfraktionen stimmten 
dem Ausschuss überraschend zu, was 
der Grünen-Abgeordnete Oliver Hilden- 
brand begründete: „Aufklärung im Fall 
des sexuellen Missbrauchs ist notwen- 
dig.” Sie betreffe die ganze Gesellschaft. 
Strobls Verhalten sei ein „Kommunikati- 
onsfehler”; der Opposition warf er „halt- 
lose, völlig überzogene Vorwürfe” vor. 

Strobl, der auch Chef der Landes-CDU 
ist, steht unter Druck, weil er ein An- 
waltsschreiben in dem Verfahren an ei- 
nen Journalisten weitergeben hatte, um 
„maximale Transparenz” zu schaffen, so 
später seine Begründung. Es habe sich 
um „ein vergiftetes Gesprächsangebot” 
gehandelt. Später verweigerte er die Er- 
mächtigung der Staatsanwaltschaft zur 
Ermittlung gegen ihn in dieser Sache. 
Strobl steht im Verdacht den Reporter 
angestiftet zu haben verbotenerweise 
„Mitteilungen über Gerichtsverhand- 
lungen“ gemacht zu haben. Der Unter- 
suchungsausschuss soll nun das Agie- 
ren Strobls und seines Ministeriums 
beleuchten. 

Beide Seiten haben Gutachten vorge- 
legt. Die SPD gab eine Analyse beim Lan- 
desbeauftragten für den Datenschutz, 
Stefan Brink, in Auftrag, die feststellte, 
dass die Weitergabe des Schreibens das 
Datenschutzrecht verletze und deshalb 
„rechtswidrig“ war. Strobl präsentierte 
ein Gutachten des Medienanwalts Chris- 
tian Scherz, wonach Strobl im Rahmen 
seiner Kompetenzen gehandelt habe. 
Der fragliche Brief des Anwalts sei kein 
amtliches Dokument und dessen Weiter- 
gabe deshalb nicht strafbar. 

Aus Reihen der Grünen wird häufig an 
den FallWolfgang Schmidt erinnert, den 
aktuellen Kanzleramtsminister in Ber- 
lin. Der Sozialdemokrat hatte, als wäh- 
rend des Bundestagswahlkampfs 2021 
die Staatsanwaltschaft das Ministerium 
des damaligen Bundesfinanzministers 
Olaf Scholz durchsuchte, Teile des Ge- 


richtsbeschlusses bei Twitter ins Netz 
gestellt. Auch damals ging es um eine 
„verbotene Mitteilung über Gerichtsver- 
handlungen“. Am Ende zahlte Schmidt 
5.000 € an zwei gemeinnützige Einrich- 
tungen und der Fall war erledigt. 

Hintergrund sind Vorwürfe gegen den 
Landespolizeiinspekteur. Der 47-jähri- 
ge Mann soll einer Kriminalkommissa- 
rin, die in den höheren Dienst wechseln 
wollte, in einer Videobesprechung die 
Beförderung gegen Sex angeboten ha- 
ben. Die Ermittlungen zu dem Falllaufen 
seit Dezember 2021. Der Beamte wurde 
vom Amt suspendiert (Landtag setzt Un- 
tersuchungsausschuss zu Strobl-Affäre 
ein, www.zeit.de 01.06.2022, Ferstl, 
Landtag untersucht die Affäre Strobl, SZ 
02.06.2022, 5). 


Baden-Württemberg 


Brink will hinschmeißen 


Das Land Baden-Württemberg wird 
voraussichtlich einen neuen Landesbe- 
auftragten für Datenschutz und Infor- 
mationsfreiheit (LfDI) suchen müssen. 
Der aktuelle Stelleninhaber, Stefan 
Brink, kündigte seinen Mitarbeitern 
am 13.07.2022 in einer internen Ver- 
sammlung der Behörde an, dass er Ende 
2022 aus dem Amt scheiden und nicht 
wieder kandidieren werde. Der LfDI 
wird laut Gesetz auf Vorschlag der Lan- 
desregierung vom Landtag gewählt. In 
der Mitarbeiterversammlung soll Brink 
gesagt haben, es gebe „kein Zerwürf- 
nis“ mit Grün-Schwarz. Er habe sich 
aber mit der Landesregierung nicht auf 
künftige Projekte einigen können. Re- 
gierungssprecher Arne Braun bestätig- 
te die Personalie auf Anfrage, äußerte 
sich aber zunächst nicht zu den Hinter- 


gründen. 
Es wird spekuliert, dass in den Ver- 
handlungen Meinungsunterschiede 


über die weitere Landesstrategie zur 
Digitalisierung auftraten. Auch das im 
Koalitionsvertrag von Grünen und CDU 
angekündigte „Transparenzgesetz“, 
das aus dem Landes-Informationsfrei- 
heitsgesetz entwickelt werden soll, 
könnte Konfliktstoff geboten haben. Es 
ist bekannt, dass Brink hier eine weit- 
gehende Lösung anstrebt. 
Ministerpräsident Winfried Kretsch- 
mann (Grüne) erweckt immer wieder 
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den Eindruck, er sehe hiesige Daten- 
schutz-Standards als überzogen und 
hinderlich an. Die Corona-Warn-App, 
klagte er z.B. 2021, sei wegen des Da- 
tenschutzes „nur eine Krücke“. 

Der promovierte Jurist Brink war An- 
fang 2017 aus Rheinland-Pfalz nach 
Stuttgart gewechselt (DANA 1/2017, 
48 f.). Er erwarb sich den Ruf eines oft 
unbequemen Kritikers der Landespoli- 
tik. So griff er beispielsweise in Pläne 
des Kultusministeriums für eine digita- 
le Bildungsplattform mit Software des 
US-Herstellers Microsoft ein und setzte 
so durch, dass die Pläne geändert wur- 
den (DANA 3/2021, 180). Auch eine öf- 
fentlich ausgetragene Kontroverse mit 
dem Tübinger Oberbürgermeister Bo- 
ris Palmer oder ein hohes Bußgeld für 
den Fußballverein VfB Stuttgart gin- 
gen durch die Medien (DANA2/2021, 
114 £.). Zuletzt erzeugte ein Gutachten 
Brinks für Aufsehen, in dem er dem 
Innenminister, Vize-Regierungschef 
und CDU-Landesvorsitzenden Thomas 
Strobl vorwirft mit einer Indiskreti- 
on rechtswidrig gehandelt zu haben 
(s.o.). Die Staatsanwaltschaft Stuttgart 
ermittelt in der Angelegenheit. 

Für seine abgelaufene Amtszeit zog 
Brink eine positive Bilanz: „Das wa- 
ren sechs großartige Jahre in Baden- 
Württemberg, wir haben eine Menge 
aufgebaut, das Bild und Ansehen des 
Datenschutzes weiterentwickelt.“ Un- 
ter seiner Leitung ist die Dienststelle 
des Datenschutzbeauftragten zu einer 
Behörde mit mehr als 70 Planstellen 
ausgebaut worden. Jetzt sucht der 
56-jährige Jurist nach eigenen Worten 
eine neue Herausforderung. Er werde 
dem Thema aber treu bleiben und ab 
dem kommenden Jahr von Berlin ausin 
einer privaten Tätigkeit das „Megathe- 
ma Digitalisierung“ betreuen. 

Aus der SPD-Landtagsfraktion heißt 
es, die Landesregierung wolle einen 
unliebsamen Kritiker loswerden. Die 
Sozialdemokraten sowie die FDP-Frak- 
tion bedauerten Brinks Weggang und 
betonten seine Dienste für den Daten- 
schutz (Habermehl, Baden-Württem- 
bergs Datenschutzbeauftragter Brink 
hört auf, www.badische-zeitung.de 
13.07.2022; Landes-Datenschutzbe- 
auftragter Stefan Brink will seinen 
Vertrag nicht verlängern, www.swr.de 
13.07.2022). 
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Bayern 


Keine Sanktion wegen 
großer Buchbinder-Daten- 
panne 


Teils höchst persönliche Daten von 
drei Millionen Kundinnen und Kunden 
des Autovermieters Buchbinder, ins- 
gesamt zehn Terabyte, standen Anfang 
2020 wochenlang völlig ungeschützt 
zum Abruf bereit. Es ging um Informa- 
tionen wie Adressen, Telefonnummern, 
Kontoverbindungen, aber auch detail- 
lierte Unfallberichte. Die Ursache des 
Lecks lag in einem eher profanen Konfi- 
gurationsfehler eines externen Backup- 
Servers: Über den offenen Port 445 hat- 
ten offensichtlich fahrlässig agierende 
Admins SMB-Zugriff gestattet und da- 
mit die Archive aus dem Internet ein- 
sehbar gemacht. Sämtliche Daten waren 
unverschlüsselt zu finden, ein Passwort 
für den Zugang war nicht erforderlich. 

Die nicht vorhandene Zugriffssiche- 
rung stellt einen erheblichen Verstoß 
gegen die DSGVO dar. Als zuständige 
Aufsichtsbehörde für die Buchbinder- 
Gruppe hatte sich das Bayerische Lan- 
desamt für Datenschutzaufsicht (Bay- 
LDA) mit Sitz in Ansbach der Sache an- 
genommen. Für Erstaunen hatte die Be- 
hörde bereits früh mit der Einschätzung 
gesorgt, dass es sich bei der Datenpanne 
nicht um einen Fall nach Artikel 34 der 
DSGVO handelt, wonach der Autover- 
mieter alle betroffenen Kunden über 
die Datenpanne hätte informieren müs- 
sen, sofern dadurch „voraussichtlich 
ein hohes Risiko für die persönlichen 
Rechte und Freiheiten” der Betroffenen 
entstanden wäre. Auf eine persönliche 
Unterrichtung zum mehr als schludri- 
gen Umgang mit ihren Daten warten die 
Kunden, die über die Medien von der 
Panne erfuhren, bis heute. 

Datenschutzexperten gingen davon 
aus, dass die Behörde ein hohes Buß- 
geld verhängen würde, zumal hier ein 
eindeutiger Verstoß unter anderem 
gegen Artikel 32 DSGVO vorlag, der die 
technischen Anforderungen zum Schutz 
von Daten definiert. Im April 2022 teilte 
die Behörde auf Anfrage von Journalis- 
ten mit, dass sie die Akte bereits im De- 
zember 2021 geschlossen habe. Es habe 
kein Anlass bestanden „von Abhilfe- be- 


ziehungsweise Sanktionsbefugnissen 
Gebrauch zu machen“. Maßgebliche 
Umstände seien dabei insbesondere 
„die Zurechenbarkeit des der Daten- 
schutzverletzung zugrunde liegenden 
Fehlverhaltens und umfassende und 
effektive eigenverantwortliche Abhil- 
femaßnahmen sowie die pandemiebe- 
dingt angestiegene Sanktionsempfind- 
lichkeit des Unternehmens” gewesen. 
Im Ergebnis kommt der Autovermieter 
für seine Datenpanne also ohne jegliche 
Sanktion durch die Behörde davon. 

Der Sachverhalt begründet, so offen- 
bar die Ansicht des BayLDA, grundsätz- 
lich keine Verletzung von Artikel 32 der 
DSGVO. Die Behörde meint, es gehöre 
zu den Aufgaben des Verantwortlichen 
selbst - also der Buchbinder-Gruppe - 
zu überprüfen, ob Abrufe erfolgt sind, 
beispielsweise „durch die Auswertung 
von Log-Dateien samt übertragenen Da- 
tenmengen”. Die Annahme des BayLDA 
einer „geringen Eintrittswahrschein- 
lichkeit” des Vertraulichkeitsverlustes 
ist erstaunlich, zumal der Zugriff eines 
c't-Redakteurs auf die Buchbinder-Kun- 
dendaten beispielsweise von der ARD- 
Tagesschau dokumentiert wurde. 

Könne der Betreiber des offenen Ser- 
vers, so das BayLDA, nachweisen, dass 
es nur eine „begrenzte, gegebenenfalls 
sogar individuell identifizierbare und 
damit spezifisch zu bewertende An- 
zahl von Akteuren” gab, die Zugriff auf 
die Daten gehabt hatten, so sei das zu 
berücksichtigen. Durch Analysen des 
Netzwerkverkehrs habe Buchbinder 
„eine geringe Eintrittswahrscheinlich- 
keit eines Abrufs mit dem Zweck eines 
Datenmissbrauchs” ermittelt. Sowohl 
Redakteure der c’t wie auch der Zeit so- 
wie der Tippgeber hatten mehrfach auf 
die Daten zugriffen, weshalb eine ganze 
Menge unterschiedlicher IP-Adressen 
in den Log-Dateien hätten aufgetaucht 
sein müssen. Überdies könnten bei ei- 
nem Angriff von Unbekannt die Log-Da- 
teien nachträglich manipuliert worden 
sein. 

Fabian Schmieder, Professor für Me- 
dienrecht und Datenschutz an der 
Hochschule Hannover, kritisierte u.a. 
die Annahme der Behörde, dass es auf 
die Intention der Personen ankommen 
soll, die auf die Daten zugegriffen ha- 
ben. Maßgeblich sei allein, dass durch 
die Fehlkonfiguration ein unberechtig- 
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ter Zugriff faktisch ermöglicht wurde. 
Nach seiner Ansicht liegt ein schwer- 
wiegender Verstoß gegen Artikel 32 Ab- 
satz 1 DSGVO vor, der ein hohes Bußgeld 
nahelegt (Heidrich, Kein Bußgeld für 
die Datenpanne bei Buchbinder, www. 
heise.de 06.05.2022, Kurzlink: https:// 
heise.de/-7072949). 


Berlin 


Sicherheitschef der Polizei 
warnt vor Teslas Wächter- 
modus 


Der Sicherheitschef des Berliner Po- 
lizeipräsidiums und Landeskriminal- 
amts hat mit einem Rundschreiben vom 
22.06.2022 vorgegeben, dass Elektroau- 
tos von Tesla wegen der in ihnen einge- 
bauten Videokameras nur eingeschränkt 
auf Liegenschaften der Berliner Polizei 
gelangen dürfen, weil die Elektroautos 
Mitarbeitende, Dritte und die Liegen- 
schaften selbst und den Datenschutz 
gefährden. Die Autofahrer selbst erfah- 
ren nicht, wie die Daten dann weiterver- 
arbeitet werden. Thilo Cablitz, Presse- 
sprecher der Berliner Polizei, erläuterte, 
dass noch kein generelles Einfahrverbot 
bestehe. Die Regelungslage werde noch 
abschließend je nach Liegenschaft ab- 
gestimmt. Auch werde die fortwährende 
Entwicklung der IT in Kraftfahrzeugen 
berücksichtigt. Dem Schreiben des Si- 
cherheitschefs wird zunächst keine Ver- 
botswirkung zugemessen; es diene der 
Sensibilisierung. 

Schon bisher dürfen gemäß Cablitz 
in sämtlichen Sicherheitsbereichen der 
Polizei Berlin keine Ton-, Foto- und Film- 
aufnahmen angefertigt werden, wenn sie 
nicht dienstlich erforderlich und dazu 
geeignet sind sicherheitsrelevante Inter- 
essen zu verletzen. Wie bisher gelte, jede 
und jeder sei erst einmal selbst verant- 
wortlich dafür Sorge zu tragen, dass kei- 
ne entsprechenden Aufnahmen gefertigt 
werden, ob nun mit dem Smartphone, 
der Kamera oder durch die das Umfeld 
überwachenden Automobil-IT. 

Der Berliner Polizei sei deutlich ge- 
worden, dass Tesla-Autos mit den Ka- 
meras ständig und ereignisunabhängig 
bewegte Bilder der Fahrzeugumgebung 
aufzeichnen, diese Aufnahmen in die 
Niederlande ausleiten und dort auf Tesla- 
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Servern dauerhaft gespeichert würden. 
Im seit 2019 von Tesla angebotenen 
Wächtermodus (Sentry Mode) zeichnet 
das Auto Videos von der Umgebung auf, 
wenn es eine auffällige Bewegung fest- 
stellt. Wenn ein Tesla-Auto derart in den 
„Alarm”-Zustand wechselt, erhalten die 
Besitzer eine Warnung auf ihrer Tesla- 
App. 

Dafür genügt es, dass eine Person oder 
ein anderes Fahrzeug nahe am Auto 
vorbeikommen. Deshalb und aus weite- 
ren Gründen äußerte 2020 der frühere 
schleswig-holsteinische Datenschutzbe- 
auftragte Thilo Weichert vom Netzwerk 
Datenschutzexpertise starke Bedenken 
wegen Teslas Datenschutzverträglichkeit 
in Europa und verlieh einen BigBrother- 
Award (DANA 4/2020, 227 ff.). 

Heikel sind dauerhaft aktivierte Video- 
aufzeichnungen für die Berliner Polizei 
auch, weil mit ihnen Sicherheitsberei- 
che wie Munitionsbunker, Zivilwagen 
mit Tarnkennzeichen und Bereiche von 
Zivilermittlern oder Spezialkräften von 
den Tesla-Kameras erfasst werden könn- 
ten. Der Berliner Sicherheitschef hat 
vorgegeben, dass seine Tesla-Warnung 
„als behördenweite Maßnahme von allen 
Verantwortlichen für ihre jeweiligen poli- 
zeilichen Liegenschaften gleichermaßen 
umzusetzen ist”. 

Persönlich betroffen von der „Anord- 
nung” ist u.a. Thomas Goldack, Leiter der 
Direktion 2 im Westen der Stadt. Er fährt 
einen Tesla, der am Tag des Anschreibens 
auf seinem persönlichen Parkplatz auf 
dem Polizeigelände, markiert von einem 
blauen Parkschild mit der Aufschrift 
„L Dir 2“, gesehen wurde. Die Gewerk- 
schaften und Berufsverbände reagier- 
ten unterschiedlich. Benjamin Jendro, 
Sprecher der Gewerkschaft der Polizei 
(GdP), zeigte sich problembewusst: „Die 
heutigen technischen Möglichkeiten 
sind sehr weitreichend und machen es 
notwendig Sicherheitsmaßnahmen auf 
Liegenschaften stets zu optimieren. Klar 
ist aber auch, dass vieles noch immer auf 
den Menschen selbst ankommt, der die 
Technik nutzt.” 

Dagegen bezeichnete Jörn Badendick 
vom Verband „Unabhängige in der Po- 
lizei” den Vorgang als grotesk: „Wenn 
Mitarbeiter des höheren Dienstes aus 
Bequemlichkeit mit ihren Privatfahr- 
zeugen für die Polizei Berlin zum Sicher- 
heitsrisiko werden, erwarte ich von den 


unabhängigen Datenschutzbeauftrag- 
ten die sofortige Aufnahme von Ermitt- 
lungen. Das Ganze ist ein Vorgehen ä la 
Pippi Langstrumpf - ich mache mir die 
Welt, wie sie mir gefällt. Richtigerweise 
müsste erst geprüft werden und dann die 
Erlaubnis zum Befahren des Geländes er- 
teilt werden.” 

Unter anderen Umständen profitiert 
die Polizei von Teslas Überwachungsmo- 
dus. Nach Unfällen können Ermittler mit 
richterlichem Durchsuchungsbeschluss 
sich in die europäische Datenzentrale 
von Tesla oder in den internen Speicher 
eines Autos einloggen. 

Auch die Berliner Datenschutzbeauf- 
tragte (BlnBDI) befasste sich mit dem 
Wächtermodus und stellte fest, dass 
dieser nicht grundlos durchgehend auf 
Parkplätzen aktiviert sein und Bilder 
von der Umgebung nicht aufzeichnen 
darf. Wenn es Beschwerden wegen des 
aktivierten Modus gebe, werde die Auf- 
sichtsbehörde ein Verfahren einleiten 
und den Fall prüfen, was zu einem Buß- 
geld führen könne. Teslas Sentry Mode 
hatte zuvor bereits die chinesische Re- 
gierung zu Bedenken geführt. Sie wolle 
Militärangehörigen und Mitarbeitern 
wichtiger Unternehmen die Nutzung 
von Tesla-Fahrzeugen verbieten. Die 
chinesische Regierung befürchtet, dass 
die von den E-Autos über Kameras und 
Sensoren gesammelten Daten durch den 
Datentransfer zu Tesla in die USA die 
nationale Sicherheit Chinas gefährden 
könnten (s.o. S. 180; Fröhlich, Berliner 
Polizei rudert zurück - vorerst doch kein 
Hausverbot für Teslas, www.tagesspiegel. 
de 23.06.2022; Wilkens, Wächtermodus: 
Tesla-Autos sollen nicht mehr auf Berli- 
ner Polizeigelände parken, www.heise. 
de 23.06.2022, Kurzlink: https://heise. 
de/-7151317). 


Brandenburg 


Kanzlerehepaar entsorgt 
sensible Daten im Haus- 
müll 


Bundeskanzler Olaf Scholz und seine 
Ehefrau Britta Ernst, Bildungsministerin 
in Brandenburg, sind langjährige Politik- 
profis, praktizierten aber einen eher la- 
xen Umgang mit wichtigen Dokumenten 
in ihrem Haushalt. Im Hausmüll fanden 
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sich wiederholt Dienstpapiere - darunter 
sogar Verschlusssachen, ohne dass diese 
vorher geschreddert oder anderweitig 
unkenntlich gemacht waren. 

Gemäß Presseberichten waren auch 
vertrauliche Dokumente, die teils als 
„Verschlusssache - nur für den Dienst- 
gebrauch” eingestuft worden seien, im 
Restmüll zu finden. Nachbarn des Wohn- 
komplexes in der Potsdamer Innenstadt, 
den auch das SPD-Politikerpaar be- 
wohnt, seien auf das Altpapier im Rest- 
müll oder garin transparenten Mülltüten 
vor dem Müllraum aufmerksam gewor- 
den. Die meisten der Papiere gingen da- 
bei offenbar auf Britta Ernst zurück, die 
diese allenfalls ein- oder zweimal durch- 
gerissen haben soll - und manchmal 
sogar gar nicht. Darunter befanden sich 
Auszüge aus dem Terminkalender der 
brandenburgischen Bildungsministerin, 
Einblicke in die Kleiderwahl der Kanz- 
lergattin für wichtige Termine oder per E- 
Mail gestellte Anfragen für Englischkurse 
Ernsts. 

Unter den wenig fachgerecht entsorg- 
ten Unterlagen befanden sich als ver- 
traulich eingestufte Papiere, etwa kurz 
nach dem G7-Gipfel Ende Juni in Elmau 
ein Dokument, auf dem Kurzprofile der 
Partnerinnen und Partner der teilneh- 
menden Regierungschefs zu finden wa- 
ren. Der „Organisationsstab Vorsitze” im 
Auswärtigen Amt hatte der Kanzlergattin 
aufgeschrieben, wen sie als Gastgeberin 
des Partnerprogramms betreuen soll- 
te. Unter dem Foto von Maria Serenella 
Cappello, der Ehefrau von Ministerprä- 
sident Mario Draghi steht z.B. „Meidet 
die Öffentlichkeit”. Zur Frau von Japans 
Regierungschef Fumio Kshida heißt es: 
„Sekretärin bei Mazda“. 

Für solche Dokumente gelten strenge 
Umgangsregeln. Amtsträger werden von 
den Sicherheitsbehörden darin unter- 
wiesen, wie sie diese behandeln sollen. 
Zum Umgang mit Verschlusssachen er- 
mächtigt wird nur, „wer eine Sicherheits- 
prüfung zur Feststellung der erforder- 
lichen Zuverlässigkeit bestanden hat”. 
Verschlusssachen-Dokumente „nur für 
den Dienstgebrauch” dürfen Dienstge- 
bäude nur verlassen, wenn dies auch 
dienstlich notwendig ist. Zudem müss- 
ten die Papiere so entsorgt werden, „dass 
der Inhalt weder erkennbar ist noch er- 
kennbar gemacht werden kann“, so die 
Verwaltungsvorschrift des Bundes zum 
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„materiellen Geheimschutz” (Schult, 
G7? Ab in die Tonne, Der Spiegel Nr. 30 v. 
23.07.2022, 23; Bericht: Kanzler Scholz 
und Gattin Ernst entsorgen Geheim- 
dokumente im Hausmüll, www.rnd.de 
22.07.2022). 


Niedersachsen 


VW-Fahrzeug-Assistenzer- 
probung führt zu 1,1 Mio.- 
Euro-Bußgeld 


Der Wolfsburger Autobauer Volkswa- 
gen (VW) muss eine Geldbuße in Höhe 
von 1,1 Mio. Euro zahlen, weil es der 
Konzern und ein eingesetzter Dienst- 
leister bei dem VW-Erprobungsfahrzeug 
mit dem Datenschutz nicht so genau 
nahmen und Überwachungskameras 
ohne erforderliche Kennzeichnung ver- 
wendeten. Die niedersächsische Lan- 
desbeauftragte für Datenschutz (LfD) 
Barbara Thiel erkannte als zuständige 
Datenschutzaufsichtsbehörde letzt- 
lich mehrere Verstöße gegen die Da- 
tenschutz-Grundverordnung (DSGVO) 
und verhängte die nicht unerhebliche 
Strafe. Die österreichische Polizei kon- 
trollierte das Testfahrzeug 2019 bei 
Salzburg im Rahmen der üblichen Ver- 
kehrsüberwachung. Den Beamten fie- 
len dabei an dem Auto nach Angaben 
der LfD „ungewöhnliche Anbauten” auf, 
die sich noch vor Ort als Kameras her- 
ausstellten. Diese seien unter anderem 
zur Fehleranalyse verwendet worden 
und zeichneten das Verkehrsgeschehen 
rund um das Fahrzeug auf. 

Die Aufsichtsbehörde teilte mit, dass 
„aufgrund eines Versehens” an dem 
Auto warnende Magnetschilder mit ei- 
nem Kamerasymbol und den weiteren 
vorgeschriebenen Informationen für 
die datenschutzrechtlich Betroffenen 
gefehlt haben. Die anderen Verkehrs- 
teilnehmer hätten laut Artikel 13 DSGVO 
aber etwa über den Zweck der durchge- 
führten Datenverarbeitung und die Frist 
der Speicherung der personenbezoge- 
nen Informationen aufgeklärt werden 
müssen. 

Bei der weiteren Untersuchung stell- 
ten die Prüfer fest, dass Volkswagen kei- 
nen Auftragsverarbeitungsvertrag mit 
dem Unternehmen abgeschlossen hat- 
te, das die Fahrten durchführte. Ein sol- 


cher wäre nach Artikel 28 DSGVO nötig 
gewesen. Ferner hätten die Zuständigen 
keine Datenschutz-Folgenabschätzung 
nach Artikel 35 DSGVO durchgeführt, 
um vorab mögliche Risiken und deren 
Eindämmung zu bewerten. Schließlich 
fehlte eine Erklärung der technischen 
und organisatorischen Schutzmaßnah- 
men im Verzeichnis der Verarbeitungs- 
tätigkeiten, was die Kontrolleure als 
Verstoß gegen die Dokumentations- 
pflichten nach Artikel 30 DSGVO werte- 
ten. 

Die Datenschutzbehörde spricht ins- 
gesamt von vier Verstößen „mit jeweils 
niedrigem Schweregrad”, die alle rasch 
behoben worden seien: VW habe die 
Mängel, die in keinem Bezug zu Seri- 
enfahrzeugen stehen, im Rahmen des 
Prüfverfahrens unverzüglich abgestellt. 
Thiel erläuterte: „Die eigentlichen For- 
schungsfahrten waren datenschutz- 
rechtlich nicht zu beanstanden. Gegen 
die dabei anfallende Erhebung und 
Weiterverarbeitung personenbezogener 
Daten bestehen von unserer Seite kei- 
ne Bedenken.” Die Aufsicht habe beim 
Festlegen der Bußgeldhöhe auch min- 
dernd berücksichtigt, dass die Tests mit 
den persönlichen Informationen dazu 
dienten ein Fahrassistenzsystem zu 
optimieren, dadurch potenziell Unfälle 
zu vermeiden und so die Sicherheit im 
Straßenverkehr zu erhöhen. 

Aufgrund des grenzüberschreitenden 
Charakters des Falls beteiligte Thiel vor 
Erlass des Bußgeldbescheids andere 
betroffene europäische Datenschutz- 
aufsichtsbehörden im DSGVO-Koopera- 
tionsverfahren, die die Entscheidung 
mittragen. VW hat gemäß der LfD um- 
fassend kooperiert und die Strafe be- 
reits akzeptiert. Die mit über 35 Mio. 
Euro bislang höchste DSGVO-Sanktion 
in Deutschland verhängte die Hambur- 
gische Datenschutzbehörde 2020 gegen 
den Bekleidungshändler H&M. Die EU- 
weit bisher höchste Strafe traf Amazon 
Europa in Luxemburg mit 746 Mio. Euro 
(Die Landesbeauftragte für den Daten- 
schutz Niedersachsen, PE v. 26.07.2022, 
Datenschutzverstöße im Rahmen von 
Forschungsfahrten, 1,1 Millionen Euro 
Bußgeld gegen Volkswagen; Krempl, 
DSGVO-Verstoß: Volkswagen muss 1,1 
Millionen Euro Bußgeld zahlen, www. 
heise.de 26.07.2022, Kurzlink: https:// 
heise.de/-7190148). 
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Niedersachsen 


Bußgeld gegen Kredit- 
institut wegen illegaler 
Werbung 


Die Landesbeauftragte für den Da- 
tenschutz (LfD) Niedersachsen hat ge- 
gen ein Kreditinstitut eine Geldbuße 
in Höhe von 900.000 Euro festgesetzt. 
Das Unternehmen hatte Daten aktiver 
sowie ehemaliger Kundinnen und Kun- 
den ohne deren Einwilligung ausge- 
wertet. Dazu analysierte es das digitale 
Nutzungsverhalten und wertete unter 
anderem das Gesamtvolumen von Ein- 
käufen in App-Stores, die Häufigkeit der 
Nutzung von Kontoauszugsdruckern 
sowie die Gesamthöhe von Überweisun- 
gen im Online-Banking im Vergleich zur 
Nutzung des Filialangebots aus und be- 
diente sich hierzu eines Dienstleisters. 
Ergänzend wurden die Ergebnisse der 
Analyse mit einer Wirtschaftsauskunftei 
abgeglichen und von dort angereichert. 
Ziel war es Kunden mit einer erhöhten 
Neigung für digitale Medien zu iden- 
tifizieren und diese adressatengerecht 
für vertragsrelevante oder werbliche 
Zwecke verstärkt auf elektronischen 
Kommunikationswegen anzusprechen. 
Den meisten Kunden wurden zwar vorab 
zusammen mit anderen Unterlagen In- 
formationen zugeschickt. Diese ersetz- 
ten die notwendigen Einwilligungen 
allerdings nicht. Der Bußgeldbescheid 
istnoch nicht rechtskräftig (LfD Nieder- 
sachsen, PE 28.07.2022, 900.000 Euro 
Bußgeld gegen Kreditinstitut wegen 
Profilbildung zu Werbezwecken). 


Nordrhein-Westfalen 


VZ klagt gegen Weitergabe 
von TK-Vertragsdaten 


Die Verbraucherzentrale Nordrhein- 
Westfalen (VZ NRW) hat Klage erhoben 
gegen die Telekom Deutschland, Voda- 
fone und Telefonica wegen deren Wei- 
tergabe von sogenannten „Positivdaten“” 
ihrer Kundinnen und Kunden an Wirt- 
schaftsauskunfteien ohne hierfür eine 
Einwilligung der Betroffenen eingeholt 
zu haben. Dadurch würden sie gegen 
die Datenschutz-Grundverordnung ver- 
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stoßen; die VZ fordert die Übermittlung 
der Telekommunikations-(TK-)Daten zu 
unterlassen. 

Die Deutsche Telekom teilte mit, sie 
übermittle bereits seit Anfang des Jahres 
2021 keine Positivdaten mehr an Aus- 
kunfteien oder Wirtschaftsauskunfteien. 
Anlass dafür seien Bedenken der Daten- 
schutzbeauftragten der Länder gewesen 
(DANA 1/2022, 34): „Wir haben das ganz 
eingestellt.” Von den anderen Unterneh- 
men gab es zunächst keine Stellungnah- 
me. Als Positivdaten werden Informatio- 
nen bezeichnet, die sich nicht auf ausge- 
bliebene Zahlungen oder sonstiges nicht 
vertragsgemäßes Verhalten beziehen, 
sondern darauf, wer wann mit wem einen 
Vertrag geschlossen hat. 

Wolfgang Schuldzinski, Vorstand der 
VerbraucherzentraleNRW, begründet das 
Vorgehen: „Die Übermittlung von Posi- 
tivdaten erscheint auf den ersten Blick 
vielleicht harmlos, doch jede Informa- 
tion über Verbraucher:innen kann von 
Unternehmen für spürbare Entscheidun- 
gen genutzt werden.” Eine Person, die 
mehrere Mobilfunkverträge habe oder 
diese häufig wechsele, gelte unter Um- 
ständen als weniger vertrauenswürdig 
und erhalte deswegen keinen Vertrag, 
auch wenn alle Rechnungen pünktlich 
bezahlt wurden. Die VZ NRW hatte zu- 
nächst die Anbieter Telefönica Germany, 
Telekom Deutschland und Vodafone er- 
folglos abgemahnt. Nun hat sie vor dem 
Landgericht München gegen Telefönica 
Germany, vor dem Landgericht Köln ge- 
gen Telekom Deutschland und vor dem 
Landgericht Düsseldorf gegen Vodafone 
Klage erhoben (Positivdaten: Verbrau- 
cherzentrale verklagt Telekommunikati- 
onskonzerne, www.heise.de 21.07.2022, 
Kurzlink: https://heise.de/-7186149). 


Thüringen 


Polizei erhält Bodycams 


Nach Pilotprojekten hat der Thürin- 
ger Landtag am 14.07.2022 mit großer 
Mehrheit die flächendeckende Anschaf- 
fung von Bodycams am Körper der Po- 
lizeibeamten getragene Kameras, be- 
schlossen, deren Einsatz unter Auflagen 
erlaubt wird. Lediglich die Abgeordne- 
ten der FDP stimmten dagegen und kri- 
tisierten den damit verbundenen mas- 
siven Eingriff in die Bürgerrechte. Die 


CDU hat schon lange die Einführung von 
Bodycams im Freistaat gefordert und 
knüpfte ihre Zustimmung zum Haushalt 
2022 unter anderem daran. Insgesamt 
sind im Etat Thüringens im Jahr 2022 
600.000 Euro für die Kameras vorgese- 
hen. In Berlin läuft seit letztem Jahr ein 
Pilotprojekt, bei dem neben der Polizei 
auch die Berliner Feuerwehr Bodycams 
bekommt (DANA 4/2021, 245 £.). 

Die Kameranutzung wird sowohl für 
Bild- als auch für Tonaufnahmen erlaubt 
ebenso wie die sogenannte Prerecor- 
ding-Funktion, wobei kontinuierlich 
ein 30-sekündiger Zeitabschnitt aufge- 
zeichnet und immer wieder überschrie- 
ben wird. Drückt der Polizist auf einen 
Knopf, um eine Aufnahme zu beginnen, 
werden auch die vergangenen 30 Sekun- 
den gespeichert. Der Einsatz der Kame- 
ras in Privaträumen, Anwaltskanzleien 
und Arztpraxen ist nicht gestattet. In 
Geschäftsräumen mit Publikumsverkehr 
sollen Polizisten Aufnahmen anfertigen 
dürfen, wenn sie Gefahr für Leib und Le- 
ben wittern. Zudem müssen die Aufnah- 
men im Nachgang richterlich überprüft 
werden. Auch Menschen, gegen die sich 
eine Amtshandlung richtet, sollen die 
Aufnahme mit den Kameras verlangen 
dürfen. Ab 2024 sollen die Kameras auto- 
matisch Aufzeichnungen starten, sobald 
ein Polizist seine Schusswaffe zieht. 

Für Innenminister Georg Maier (SPD) 
ist die Entscheidung des Landtags ein 
„guter Kompromiss im Sinne der Poli- 
zei”. CDU-Innenpolitiker Raymond Walk 
betonte, dass seine Fraktion schon seit 
Jahren Bodycams gefordert hat: „Heute 
ist ein guter Tag für mehr Transparenz, 
aber auch für mehr Sicherheit.” Linke 
und Grüne machten in der Landtags- 
debatte dagegen deutlich, dass sie den 
Körperkameras nur mit Bauchschmer- 
zen zustimmten, und weil die CDU 
ihre Zustimmung zum Haushalt daran 
knüpfte. Linken-Innenpolitiker Sascha 
Bilay sprach von „Erpressung“. Grünen- 
Fraktionschefin Astrid Rothe-Beinlich 
sagte, ihre Fraktion trage den Kompro- 
miss mit: „Feiern werden wir ihn aber 
nicht.“ Den Forderungen der Polizei- 
gewerkschaften Bodycams auch in Pri- 
vaträumen einsetzen zu dürfen, erteilte 
sie eine Absage (Sokolov, Polizei Thü- 
ringens erhält Bodycams, wwwr.heise. 
de 14.07.2022, Kurzlink: https://heise. 
de/-7180378). 
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Datenschutznachrichten aus dem Ausland 


EU 


Kritik an Chatkontrolle 
zwecks Kindesmiss- 
brauchsbekämpfung 


Die EU-Kommission hat am 11.05.2022 
ihre Pläne für eine umfassende Chat- 
kontrolle zur Bekämpfung von Kindes- 
missbrauch auf den Weg gebracht. Da- 
mit sollen Hoster und Messengerdienste 
dazu gezwungen werden können Fotos 
und Videos von Kindesmissbrauch mit 
spezieller Software vollautomatisiert 
aufzuspüren - auch in privaten und ver- 
schlüsselten Nachrichten ihrer Nutzer. 
Die zuständige Innenkommissarin Ylva 
Johansson meinte: „Europa nimmt mit 
diesem Gesetz weltweit eine Führungs- 
rolle im Kampf gegen sexuellen Miss- 
brauch von Kindern ein.” Allein im Jahr 
2021 seien 85 Mio. Fotos und Videos 
im Internet zu sexuellem Missbrauch 
entdeckt worden. Die Wachstumsraten 
seien erschütternd, gerade bei Kindern 
zwischen 7 und 10 Jahren: „Wir schei- 
tern heute daran Kinder zu schützen.” 
Europa sei Schwerpunkt dieser Krimi- 
nalität. Die Koordination mit den Be- 
hörden der Mitgliedsländer soll eine bei 
Europol angesiedelte „EU-Zentralstelle” 
übernehmen. 


Das geplante Gesetz 


Große Plattformen wie Facebook hat- 
ten Privatnachrichten ihrer Nutzer bis 
Dezember 2020 freiwillig nach Miss- 
brauchsdarstellungen gescannt. Treffer 
wurden an das US-Zentrum für vermisste 
und ausgebeutete Kinder gegeben, wo 
sie geprüft und gegebenenfalls an Ver- 
folgungsbehörden weitergegeben wur- 
den. Weil für Ende 2020 in der EU zeit- 
weise die rechtliche Grundlage fehlte, 
einigten sich die EU-Staaten 2021 auf 
eine Übergangsregelung, die spätestens 
nach drei Jahren ausläuft. Das EU-Par- 
lament hatte im Juli 2021 per Eilverord- 
nung Ausnahmen von der Anwendung 
einiger Bestimmungen der E-Privacy- 
Richtlinie eingeführt. Facebook, Goog- 
le, Microsoft und andere Diensteanbie- 
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ter ohne durchgängige Verschlüsselung 
dürfen und müssen demnach gemäß 
Art. 10 des 134-seitigen Entwurfs pri- 
vate Nachrichten ihrer Nutzer wieder 
rechtmäßig nach Darstellungen sexuel- 
len Missbrauchs Minderjähriger scannen 
(vgl. DANA 1/2021, 50). 

Das neue Gesetz soll die Digitalun- 
ternehmen verpflichten eine Risiko- 
abschätzung vorzulegen. Dabei soll es 
einerseits um die Verbreitung strafbarer 
Bildinhalte mit sexueller Gewalt gegen 
Kinder gehen, andererseits auch um An- 
zeichen von „Grooming”, also die Versu- 
chevon Missbrauchstätern sich Kindern 
im Netz zu nähern und ihr Vertrauen zu 
gewinnen. Sollte ein relevantes Risiko 
festgestellt werden, kann die nationale 
Aufsichtsbehörde einen „Kontrollauf- 
trag“ erwirken. Mit welcher Technologie 
die Kommunikation kontrolliert wird, 
soll in Absprache mit der neuen EU- 
Agentur „Zentrum zur Bekämpfung von 
sexualisierter Gewalt gegen Kinder und 
Jugendliche“ festgelegt werden. Gemäß 
Johansson ist das Gesetz im Prinzip 
„technologieneutral” angelegt. Einge- 
setzt werden sollen offensichtlich auto- 
matisierte lernfähige Systeme. Es solle 
die Technologie gewählt werden, die am 
wenigsten in die Privatsphäre der Nut- 
zenden eindringe. So wie es möglich sei 
mit einem Magneten die Nadel im Heu- 
haufen zu finden, sei es auch möglich 
kriminelle Inhalte aus Privatnachrich- 
ten herauszufiltern. 


« Kritik 


Datenschützer, Bürgerrechtler und 
Forscher protestieren seit Monaten ge- 
gen das Vorhaben, das Teil der „EU-Stra- 
tegie zum Schutz und zur Stärkung von 
Kindern in der Online-Welt” ist. 47 Orga- 
nisationen, darunter die DVD, schrieben 
einen Brandbrief und kritisierten die 
damals noch geplante „anlasslose Mas- 
senüberwachung” (vgl. DANA 2/2022, 
100 £.). Die Technik, Bilder anhand ih- 
res digitalen Fingerabdrucks zu erken- 
nen, ist fehleranfällig. Weil sie Kontext 
und Details der Bilder nicht detektieren 
kann, wird es hunderttausende falsche 
Treffer geben. Bis das auffällt, sind pri- 


vate völlig legale Bilder schon in der 
Hand der EU-Behörde. Die Software ga- 
rantiert auch nicht, dass erkannt wird, 
ob ein Mensch auf einem Bild minder- 
jährig oder gerade 18 Jahre alt ist und 
dass es sich bei den Bildern um Straf- 
taten handelt. Das neue System würde 
eine Standleitung in das Intimleben 
vieler junger Menschen schaffen. 

Der Chaos Computer Club (CCC) spricht 
von einer „fundamental fehlgeleiteten 
Technologie” und warnte vor allem vor 
dem sog. Client-Side-Scanning, also der 
Überwachung der Daten auf den End- 
geräten der Nutzer, die im Gesetz nicht 
ausgeschlossen wird. Ella Jakubowska, 
politische Beraterin bei der Bürger- 
rechtsorganisation European Digital 
Rights (EDRi), meinte: Die Vorstellung, 
dass die private Kommunikation der 
mehreren hundert Millionen EU-Bürger 
„wahllos und generell rund um die Uhr 
gescannt wird, ist beispiellos“. Über das 
Scannen von Inhalten hinaus befürch- 
ten Aktivisten wie auch Tech-Firmen, 
dass die Kommission faktisch Hinter- 
türen bei Ende-zu-Ende-verschlüssel- 
ten Messaging-Diensten vorschreiben 
könnte. Laut EDRi öffnet die Kommissi- 
on „die Tür für ein breites Spektrum an 
autoritären Überwachungstaktiken”. 
Spezifische Webinhalte könnten zu- 
dem beim verschlüsselten Webprotokoll 
HTTPS nicht gezielt geblockt werden. 

WhatsApp-Chef Will Cathcart zeig- 
te sich auf Twitter „unglaublich ent- 
täuscht” über diese „furchtbare Idee“, 
dass die geplante EU-Verordnung „die 
Ende-zu-Ende-Verschlüsselung nicht 
schützt”. Der hannoversche E-Mail-An- 
bieter Tutanota will „alle Rechtsmittel” 
gegen ein solches Gesetz ausschöpfen. 
Der Kryptologe Matthew Green verwies 
auf Probleme mit der Meinungsfreiheit. 
Hinauslaufen dürfte es ihm zufolge auf 
einen ähnlichen Ansatz wie bei den 
nicht weniger umkämpften „SpyPhone”- 
Plänen von Apple. Und selbst der Deut- 
sche Kinderschutzbund hält die Pläne 
für „unverhältnismäßig und nicht ziel- 
führend“. 

Auch in der deutschen Politik gibt es 
parteiübergreifenden Gegenwind. Der 
digitalpolitische Sprecher der SPD Jens 
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Zimmermann meinte: „Unfassbar, was 
da aus Brüssel kommt. Das gehört eher 
nach Russland als nach Europa.” Der 
grüne MdB Konstantin von Notz spricht 
von einem „gefährlichen Irrweg” und 
hat „massive Zweifel”, ob dieser mit der 
Verfassung vereinbar sei: „Aus diesem 
Grund haben sich Grüne, SPD und FDP 
im Koalitionsvertrag gegen dieses Vor- 
haben ausgesprochen.” Die Linke Anke 
Domscheit-Berg wirft der Bundesregie- 
rung „Naivität” vor. Innenministerin 
Nancy Faeser sei von der EU-Bekannt- 
machung „offensichtlich völlig über- 
rascht” gewesen. Besserer Kinderschutz 
sei wichtig, dafür gebe es indes effekti- 
vere Methoden. 


° Das weitere Verfahren 


Sowohl das Europaparlament als auch 
die Mitgliedstaaten müssen dem Ent- 
wurf zustimmen. Es dürfte in beiden In- 
stitutionen heftige Debatten geben. Im 
EU-Parlament gibt es Widerstand. Pa- 
trick Breyer hat bereits Unterlassungs- 
klage gegen die Facebook-Mutter Meta 
vor dem Amtsgericht Kiel eingereicht, 
da der Betreiber des sozialen Netzwerks 
freiwillig schon jetzt eine Chatkontrolle 
durchführe. Moritz Körner, Innenexper- 
te der FDP im EU-Parlament, monierte, 
dass die Kommission Websperren „ver- 
pflichtend in allen EU-Staaten einfüh- 
ren und mit Hilfe einer europäischen 
Big-Brother-Agentur die Onlinewelt 
überwachen“ will. Kämen Kommissi- 
onspräsidentin Ursula von der Leyen 
(CDU) und Johansson mit der neuen 
„Zensursula”-Initiative durch, „wäre 
das digitale Briefgeheimnis tot”. Unter- 
nehmen dürften nicht gezwungen wer- 
den Polizei zu spielen, ihre Kunden aus- 
zuspionieren und beim Staat zu melden: 
„Diese Stasi 2.0 ist abzulehnen.” Die 
Grüne Alexandra Geese meinte: „Über 
das Ziel, sexualisierte Gewalt gegen 
Kinder zu verfolgen, herrscht absoluter 
Konsens. Aber die Wahl der geeigneten 
Mittel ist haarsträubend. Wir dürfen 
nicht aus blindem Aktionismus einen 
Freifahrtschein für das Überwachen 
der gesamten privaten Kommunikation 
von Menschen in der EU erteilen.” 20 
EU-Parlamentarier fast aller Fraktionen 
hatten zuvor gemeinsam Alarm geschla- 
gen: Es drohten chinesische Verhältnis- 
se. Die Kritiker der Massenüberwachung 
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fordern stattdessen eine bessere perso- 
nelle und finanzielle Ausstattung von 
Polizei, Ermittlungsbehörde und Ju- 
gendämtern (Krempl, EU-Chatkontrol- 
le: „Europäische Big-Brother-Agentur“, 
www.heise.de 11.05.2022, Kurzlink: 
https://heise.de/-7082775; Brühl/ 
Kelnberger, EU will Chats überwachen 
lassen, SZ 12.05.2022, 1; Brühl, Stoppt 
den großen Scanner, SZ 12.05.2022, 
17). 


EU 


Vorschlag für Europäischen 
Gesundheitsdatenraum 
vorgestellt 


Stella Kyriakides, EU-Gesundheits- 
kommissarin, und Margaritis Schinas, 
Vizepräsident der Europäischen Kom- 
mission, stellten am 03.05.2022 den 
Vorschlag der EU-Kommission für eine 
Verordnung zum Europäischen Gesund- 
heitsdatenraum (European Health Data 
Space - EHDS) vor und sparten dabei 
nicht mit großen Worten. Dies sei „revo- 
lutionär“, ein „Game Changer”, „wichtig 
und notwendig“. Mit diesem Datenraum 
wolle man, so Schinas, die bestehenden 
Ungleichheiten in den Gesundheitssys- 
temen verringern: „Gesundheitsdaten 
sind Macht”, aus der man allerdings bis- 
her zu wenig mache. Der Gesundheits- 
datenraum sei sowohl „gesundheitspo- 
litisch als auch ökonomisch sinnvoll”. 


Der Vorschlag 


Die Grundzüge des EHDS bestehen 
darin, dass jeder EU-Bürger digital auf 
die eigenen Gesundheitsdaten zugrei- 
fen und diese kontrollieren können 
soll. Auch Ärzten und anderem medi- 
zinischen Personal soll der Zugang zu 
Gesundheitsdaten erleichtert werden, 
indem eine sowohl fach- als auch län- 
derübergreifende Interoperabilität der 
Daten gewährleistet wird (primäre Nut- 
zung). So soll eine spanische Orthopä- 
din auf das MRT eines rumänischen Pa- 
tienten zugreifen können, das dieser im 
Urlaub in einem niederländischen Kran- 
kenhaus machen ließ. Zudem sollen 
Forschung, Industrie sowie öffentliche 
Gesundheitsinstitutionen stärker von 
aggregierten digitalen Gesundheitsda- 


ten profitieren (sekundäre Nutzung) 
und zu diesen Zugang erhalten. 

Gemäß dem Entwurf der Verordnung 
soll den Bürgern der Zugang über ein 
EU-weit elektronisches interoperables 
Format geboten werden, das Kontroll- 
möglichkeiten über die Speicherung 
und Weitergabe der Gesundheitsdaten 
(z.B. Rezepte, Laborergebnisse, Entlass- 
berichte, Impfnachweise, aber auch von 
Wellness-Apps) gewährt. Das schließt 
auch ein bestimmten Akteuren den Zu- 
griff zu verwehren, Daten hinzuzufügen 
und andere zu löschen. 

Die EU-Kommission will bei dem Auf- 
bau der digitalen Infrastruktur auf be- 
reits bestehende Ansätze setzen. Schon 
jetzt können über das Modellprojekt 
„MyHealth@EU” Ärzte und Apotheken 
aus insgesamt zehn EU-Mitgliedstaaten 
länderübergreifend auf Patientenbriefe 
beziehungsweise Verschreibungen zu- 
greifen. In diesem Rahmen soll künftig 
jeder Mitgliedstaat eine nationale Kon- 
taktstelle für elektronische Gesundheits- 
dienste benennen und sämtliche Ge- 
sundheitsdienstleister mitihr verbinden. 

Für die sekundäre Nutzung durch 
Wissenschaft und Industrie sollen die 
Bestimmungen der Datenschutz-Grund- 
verordnung und des (vorgeschlagenen) 
Data Governance Act gelten. Nur Daten, 
die für den jeweiligen Zweck gebraucht 
werden, sollen in anonymisierter Form 
auf Antrag bereitgestellt werden. Un- 
ter engen Voraussetzungen sollen auch 
Daten in pseudonymisierter Form be- 
reitgestellt werden. Ein sog. „European 
Health Data Space Board”, bestehend 
aus Mitgliedern der oben genannten 
Kontaktstellen sowie von Kommissions- 
mitgliedern und unter Einbeziehung 
von Patientenorganisationen und Da- 
tenschutzbehörden soll den Aufbau des 
EHDS begleiten und eine übergeordnete 
Koordinierungsfunktion übernehmen. 


« Finanzierung 


Gemäß Kyriakides soll die Verordnung 
einen „gesetzlichen Rahmen” liefern. 
Für den Großteil der Umsetzung - also 
etwa den Zugang zu persönlichen Ge- 
sundheitsdaten - seien die Mitglieds- 
staaten verantwortlich. Allerdings habe 
man das Gefühl, dass in dieser Frage 
große Einigkeit und großer Wille herr- 
sche. Bis 2025 soll der Europäische Ge- 
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sundheitsdatenraum Realität sein. Der 
Vorschlag muss nun vom EU-Parlament 
und dem Ministerrat behandelt werden. 

Die EU-Kommission hofft, dass durch 
den besseren Zugang und Austausch 
von Gesundheitsdaten im Gesundheits- 
wesen, z.B. weil aufwändige Tests und 
Untersuchungen nicht mehrmals durch- 
geführt werden müssten, 5,5 Mrd. Euro 
über einen Zeitraum von zehn Jahren 
eingespart werden können. Weitere 5,4 
Mrd. Euro könnten durch die sekundäre 
Nutzung eingespart werden. 

Die Finanzierung soll größtenteils aus 
der sog. Aufbau- und Resilienzfazilität, 
dem Kernstück des Konjunkturpakets 
„NextGenerationEU”, das in Folge der 
Coronakrise geschnürt wurde, erfolgen. 
12 Mrd. Euro stünden aus diesem Topf 
für Investitionen in die digitale Ge- 
sundheit bereit. Darüber hinaus will die 
EU-Kommission einmalig 810 Mio. Euro 
bereitstellen. Weitere 280 Mio. Euro 
stünden aus dem EU4Health-Programm 
zur Verfügung. Der Rest würde über die 
Investionsprogramme „Digital Europe 
Programme”, „Connecting Europe Faci- 
lity“ und „Horizon Europe“ finanziert. 


« Nationale Umsetzung 


Bitkom, der Branchenverband der 
deutschen Informations- und Telekom- 
munikationsbranche, lobte den Vor- 
schlag der Kommission und forderte für 
Deutschland mehr Tempo bei der elekt- 
ronischen Patientenakte, dem Ausbau 
der Telematik und der Interoperabilität. 
In diesem Zusammenhang sei wichtig, 
dass das im Koalitionsvertrag geplante 
deutsche Gesundheitsdatennutzungs- 
gesetz schnell und in Einklang mit den 
europäischen Regelungen auf den Weg 
gebracht werde. 

Mario Brandenburg, Sprecher für 
Forschung, Technologie und Innova- 
tion der FDP-Bundestagsfraktion, be- 
grüßte den EU-Vorschlag als „richtigen 
Schritt hin zu einem digital vernetzten 
Europa”. Die Kommission habe „ein 
patient:innenzentriertes Konzept vor- 
gestellt, welches datengetriebene Inno- 
vationen stärkt und zugleich den Men- 
schen die Entscheidungshoheit über die 
Verwendung ihrer sensiblen Gesund- 
heitsdaten selbst in die Hand gibt“. 
Offen bleibe, wie die Gesundheitsdaten 
sicher gespeichert werden sollen sowie 
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wie eine differenzierte Freigabe der in- 
dividuellen Daten für unterschiedliche 
Zwecke erfolgen soll, was von den Mit- 
gliedsstaaten zu beantworten sei, in de- 
ren Hoheit die Umsetzung des Zugangs 
zu den Gesundheitsdaten liege. 

Dass es an dieser Stelle Klärungs- 
bedarf gibt, zeigt u.a. die Klage des 
Vereins Gesellschaft für Freiheitsrecht 
(GFF), der mitteilte Eilanträge gegen 
das Sammeln von Gesundheitsdaten der 
Krankenkassen auf der Grundlage des 
Digitale-Versorgung-Gesetzes (DVG) bei 
den Sozialgerichten Berlin und Frank- 
furt eingereicht zu haben. Das DVG sieht 
vor, dass die gesetzlichen Krankenkas- 
sen Gesundheitsdaten ihrer Versicher- 
ten pseudonymisiert sammeln, um sie 
der Forschung zur Verfügung zu stellen. 
Laut GFF sind die Daten jedoch nicht 
ausreichend vor einer Reidentifizierung 
geschützt (Böldt, EU stellt Weichen für 
Gesundheitsdatenraum, Tagesspiegel 
Digitalisierung & KI 04.05.2022). 


Spanien 


Pegasus-Einsatz provoziert 
Regierungskrise 


Die Amtstätigkeit von Paz Esteban, 
die 2020 als erste Frau an die Spitze 
des spanischen Geheimdienstes Centro 
Nacional de Inteligencia (CNI) berufen 
worden war, wurde von ihrer Vorge- 
setzten, der Verteidigungsministerin 
Margarita Robles, Anfang Mai 2022 be- 
endet. Die Behörde wird künftig von der 
bisherigen Staatssekretärin im Verteidi- 
gungsministerium, Esperanza Castelei- 
ro (65) geleitet, die seit fast 40 Jahren 
im CNI arbeitet. Zuvor hatte Esteban vor 
Journalisten eingeräumt, dass ihre Be- 
hörde katalanische Unabhängigkeits- 
befürworter mit Hilfe der israelischen 
Spionage-Software Pegasus ausgespäht 
habe. 18 katalanische Aktivisten und 
Politiker seien im Herbst 2019 von ih- 
ren Beamten abgehört worden. Für je- 
den dieser Einzelfälle hatte Esteban am 
05.05.2022 in einer parlamentarischen 
Kontrollkommission eine richterliche 
Erlaubnis vorgelegt. Für den Rest der 
insgesamt 63 mutmaßlich mit Hilfe von 
Pegasus bespitzelten Separatisten und 
Personen aus deren Umfeld habe Este- 
ban, so die Presse, keine Verantwortung 


übernommen. Man habe damals erneut 
die Gefahr einer drohenden Abspaltung 
Kataloniens gesehen. Richter hätten die 
Überwachung der Telefone angeordnet. 
Die im „Catalangate” eingesetzte um- 
strittene Spähsoftware Pegasus der isra- 
elischen NSO Group war auf Geräten ka- 
talanischer Politiker entdeckt worden. 
Bereits Mitte April hatte die kanadische 
Forschungsgruppe Citizen Lab einen 
Bericht veröffentlicht, wonach die Mo- 
biltelefone von 63 katalanischen Unab- 
hängigkeitsbefürwortern in den Jahren 
2017 bis 2020 mit Pegasus ausgespäht 
wurden. Betroffen sind drei ehemalige 
katalanische Regionalpräsidenten, die 
Anführer der großen zivilgesellschaft- 
lichen Separatistenorganisationen, die 
Anwälte mehrerer angeklagter Politiker, 
darunter der Anwalt von Carles Puigde- 
mont, Gonzalo Boye, ebenso Puigde- 
monts Ehefrau. Der letzte Angriff auf 
ein katalanisches Smartphone erfolgte 
laut Citizen Lab am 27.06.2020 gegen 
den linksrepublikanischen Europaabge- 
ordneten Jordi Sole. Der Hersteller NSO 
betont, die Software werde nur an Re- 
gierungsorganisationen verkauft. 
Katalanische Separatisten, auf deren 
Stimmen die Minderheitsregierung von 
Ministerpräsidenten Pedro Sänchez an- 
gewiesen ist, forderten deshalb nicht 
nur die Entlassung Estebans, sondern 
auch von Robles. Der Sozialist Sänchez 
regiert mit der linkspopulistischen Par- 
tei Podemos. Seine Legitimation als Re- 
gierungschef, der nach der harten Hand 
seines konservativen Vorgängers Maria- 
no Rajoy auf den Dialog mit Katalonien 
setzt, ist angeknackst. Bislang konnte 
Sänchez auf die Stimmen der 13 Abge- 
ordneten der katalanischen Esquerra 
Republicana (ERC) zählen, die in Bar- 
celona den Regionalpräsidenten Pere 
Aragonss stellt. Der 39 Jahre alte Ara- 
gon&s ist seit September Regierungs- 
chef im Nordosten Spaniens und gilt als 
gemäßigter Separatist. Er hatte sich aus 
dem Schatten seiner deutlich aggressi- 
veren Vorgänger Quim Torra und Carles 
Puigdemont gelöst. Sein Name stand 
auch auf der Liste der Zielpersonen im 
Bericht des Citizen Lab. Aragones for- 
derte weitere Konsequenzen aus der 
Spionage-Affäre. Neben der Entlassung 
von Robles fordert er insbesondere die 
Einsetzung einer Untersuchungskom- 
mission und die Freigabe der Akten. 
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Etwas später wurden auch Hinweise 
auf Pegasus in Smartphones von Sän- 
chez, Robles und Innenminister Fern- 
ando Grande-Marlaska gefunden, die 
demnach seit Frühjahr 2021 unter tech- 
nischer Beobachtung standen. Dies war 
erst nach etwa einem Jahr bemerkt wor- 
den, weshalb der CNI noch stärker unter 
Druck geriet. Weshalb diese Bespitze- 
lung erst nach der Offenlegung der Be- 
obachtung der katalanischen Politiker 
bekannt gemacht wurde, ist eine offe- 
ne Frage. In spanischen Medien wurde 
spekuliert, Marokko könne hinter die- 
ser Aktion stecken. Dabei wurden nach 
Angaben der Regierung in Madrid rund 
3,6 Gigabyte Daten von Sanchez‘ Handy 
gestohlen. 

Sänchez steckt in der Zwickmühle: Er 
ist auf die Unterstützung der Linksrepu- 
blikaner angewiesen; es soll aber nicht 
so aussehen, als würde er vor Aragon&s 
einknicken, was ihm die konservative 
Opposition von der Partido Popular vor- 
wirft. Der Präsident habe den Kopf der 
Geheimdienstchefin als „Willkommens- 
brief” gesendet, so deren Chef Alberto 
Nunez Feijoo (Janker/Kelnberger, Un- 
freundlicheAnnäherung,SZ20.04.2022, 
6; Janker, Aragonds will „Köpfe rol- 
len sehen, SZ 23./24.04.2022, 8; 
Spähangriff auf Separatisten, Der Spie- 
gelNr. 17 23.04.2022, 75; Pegasus-Spy- 
ware: Spaniens Geheimdienst räumt Be- 
spitzelung von Separatisten ein, www. 
heise.de 05.05.2022, Kurzlink: https:// 
heise.de/-7077118; Kirchner, Nach Be- 
spitzelung von Smartphones: Spaniens 
Geheimdienstchefin tritt ab, www.heise. 
de 10.05.2022, Kurzlink: https://heise. 
de/-7081100; Pegasus-Spyware: Spa- 
niens Geheimdienstchefin geschasst, 
Deutsche Welle vom 10.05.2022, 
https://p.dw.com/p/4B5yR; Janker, 
www.dw.com/de 10.05.2022; Enttarnte 
Spione SZ 14./15.05.2022, 6). 


Polen 


Frauen fürchten Pflicht 
zur Schwangerschafts- 
registrierung 


Der polnische Gesundheitsminister 
Adam Niedzielski hat am 03.06.2022 
eine Verordnung unterzeichnet, die 
eine heftige Debatte auslöste: Diese 
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sieht eine Registrierung für Schwan- 
gere vor, was sich nach einem obli- 
gatorischen Meldesystem und nach 
Überwachung anhört. Aktivistinnen 
und Juristen fürchten, Frauen müss- 
ten bald Rechenschaft über den Verlauf 
ihrer Schwangerschaft ablegen, sich 
vielleicht unangenehmen Fragen stel- 
len. Abtreibung ist in Polen praktisch 
verboten, auch dann, wenn der Fötus 
stark geschädigt ist. Nur, wenn das Le- 
ben der Mutter offensichtlich in Gefahr 
ist oder etwa eine Vergewaltigung zur 
Schwangerschaft führte, ist die Abtrei- 
bung erlaubt. 

Niedzielski und seine Ministeri- 
umsmitarbeiter beteuern, es handle 
sich lediglich um die Umsetzung einer 
EU-Richtlinie, nach der Patientenda- 
ten durch eine zentrale Registrierung 
schnell und unkompliziert zur Verfü- 
gung stehen sollen. In Deutschland wird 
deshalb die elektronische Krankenakte 
eingeführt. Nur Patienten und Ärzte ha- 
ben darauf Zugriff, und so soll es auch 
in Polen sein. Die polnische Diskussion 
dreht sich aber nicht - wie in Deutsch- 
land - um Datensicherheit oder mög- 
liche Datenzugriffe von Arbeitgebern 
oder Krankenkassen. Vielmehr herrscht 
die Sorge vor, die Angaben könnten 
von Ermittlern genutzt werden - etwa 
um Schwangerschaftsabbrüche zu ver- 
folgen oder grundsätzlich Druck auf 
Schwangere auszuüben. 

Agnieszka Dziemianowicz-Bak, Abge- 
ordnete der Linken, erklärte auf einer 
Pressekonferenz, dass die Erfassung 
der Daten „in einem zivilisierten Land“ 
eigentlich kein Problem sei: „Aber in 
einem Land mit einem fast vollständi- 
gen Abtreibungsverbot muss uns das 
erschrecken.” Oppositionsführer Donald 
Tusk von der konservativen Bürger- 
plattform PO sagte, das Register solle 
offensichtlich der Kontrolle der Frau- 
en dienen. Er versprach im Falle eines 
Wahlsieges bei den Parlamentswahlen 
im Herbst 2023 Abtreibungen bis zur 
zwölften Woche zu legalisieren. Treiben- 
de Kraft hinter einer mit 100.000 Unter- 
schriften eingeforderten Gesetzinitiati- 
ve im Sejm, die diese Legalisierung jetzt 
schon durchsetzen möchte, ist Marta 
Lempart, Anführerin des „Strajk Kobiet” 
(Frauenstreik). Sie befürchtet, dass das 
sogenannte Schwangerschaftsregister 
dazu führen kann, dass schwangere 


Frauen medizinische Behandlungen 
meiden. Dziemianowicz-Bak meinte: 
„Polnische Frauen werden nicht mehr 
schwanger, aus Angst in irgendeiner 
Situation zur Geburt gezwungen zu wer- 
den.” Tatsächlich ist die Geburtenrate 
in Polen angesichts der seit Monaten 
stattfindenden Auseinandersetzungen 
zum Abtreibungsverbot mit statistisch 
1,39 Kindern pro Frau äußerst niedrig 
(Grossmann, Die kontrollierte Frau, SZ 
10.06.2022, 9). 


Großbritannien 


Queen’s Speech kündigt 
neues Datenschutzgesetz 
an 


In ihrer von Prinz Charles vor- 
getragenen, jährlichen Ansprache 
(„Queen’s Speech”) an das Parlament 
am 10.05.2022 hat die englische Kö- 
nigin 38 neue Gesetze angekündigt - 
darunter eines zum Datenrecht: „Das 
Datenschutzsystem des Vereinigten 
Königreichs wird reformiert.” Man wolle 
die „Vorteile des Brexits nutzen, um ein 
Datenrechtssystem von Weltklasse zu 
schaffen, das es uns ermöglicht einen 
neuen wachstumsfördernden und ver- 
trauenswürdigen britischen Rahmen für 
den Datenschutz zu schaffen“. Bereits 
2021 hatte der britische Digitalminis- 
ter Oliver Dowden angekündigt, dass 
man sich von den Vorgaben der DSGVO 
emanzipieren und beim Datenschutz 
eine eigene Linie verfolgen wolle (DANA 
4/2021, 253 ff.). 

Das Information Commissioner’s Of- 
fice, die oberste Datenschutzbehörde 
des Vereinigten Königreichs, müsse 
dadurch modernisiert werden, dass sie 
die Fähigkeiten und Befugnisse habe 
gegen Organisationen vorzugehen, die 
gegen Datenschutzgesetze verstoßen. 
Die Behörde müsse aber gegenüber 
dem Parlament und der Öffentlichkeit 
stärker rechenschaftspflichtig sein. 
Die Industrie solle stärker beteiligt 
werden an „Smart Data*-Programmen, 
die Bürgern und kleinen Unternehmen 
mehr Kontrolle über ihre Daten geben. 
Der Gesetzentwurf werde auch denjeni- 
gen helfen, die eine Behandlung im Ge- 
sundheitswesen benötigen, indem sie 
den angemessenen Zugang zu Daten im 
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Gesundheitswesen und in der Sozial- 
fürsorge verbessern. 

Als wichtigste Vorteile des geplanten 
Gesetzes nennt die Queen’s Speech die 
Steigerung der Wettbewerbsfähigkeit 
und Effizienz britischer Unternehmen 
durch Verringerung der Belastungen, 
die sie zu tragen haben, z.B. durch die 
Schaffung eines Datenschutzrahmens, 
der sich auf die Ergebnisse des Daten- 
schutzes konzentriere und nicht auf das 
Abhaken von Kästchen. Die weiteren 
angesprochenen Punkte: 

« Das Gesetz soll sicherstellen, dass 
Daten genutzt werden können, um 
die Bürger zu stärken und ihr Leben 
zu verbessern durch eine effektivere 
Bereitstellung öffentlicher Gesund- 
heits-, Sicherheits- und anderer 
Dienstleistungen. 
Schaffung eines klareren rechtlichen 
Umfelds für die Nutzung personen- 
bezogener Daten, das die verant- 
wortungsvolle Innovation und den 
wissenschaftlichen Fortschritt voran- 
treibt. 
Sicherstellung, dass die Regulie- 
rungsbehörde angemessene Maßnah- 
men gegen Organisationen ergreift, 
die die Datenrechte verletzen, und 
dass die Bürger mehr Klarheit über 
ihre Rechte haben 
« Vereinfachung der Regeln für die For- 
schung, um die Position des Vereinig- 
ten Königreichs als wissenschaftliche 
und Technologie-Supermacht zu fes- 
tigen. 


Die Queen’s Speech enthält weitere 
geplante Gesetze, die IKT- und digitale 
Themen betreffen, etwa ein Gesetz über 
digitale Märkte, Wettbewerb und Ver- 
braucherschutz sowie ein Gesetz über 
Produktsicherheit und Telekommunika- 
tionsinfrastruktur (Roos, „The Queen’s 
Speech”: Neues Datenschutzgesetz an- 
gekündigt, www.heise.de 11.05.2022, 
Kurzlink: https://heise.de/-7081999). 


Großbritannien 


Bußgeld gegen Clearview Al 


Das britische Information Com- 
missioner’s Office (ICO) hat die US-Fir- 
ma Clearview AI mit einer Geldstrafe 
in Höhe von 7.552.800 Pfund (ca. 8,9 
Millionen Euro) belegt und verpflichtet 
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ihre britischen Daten in der Gesichts- 
erkennungsdatenbank zu löschen. Das 
Unternehmen hat gegen die britischen 
Datenschutzgesetze verstoßen, indem 
es Bilder von Personen aus dem Verei- 
nigten Königreich und anderen Län- 
dern, die im Internet und in sozialen 
Medien gesammelt wurden, zur Erstel- 
lung einer globalen Online-Datenbank 
verwendet, die für die Gesichtserken- 
nung genutzt werden kann. 

Die ICO ist als unabhängige Behör- 
de des Vereinigten Königreichs für 
die Wahrung der Informationsrechte 
und des Datenschutzes zuständig. In 
ihrer Vollstreckungsmitteilung for- 
derte sie gemäß ihrer Mitteilung vom 
23.05.2022 Clearview AI auf die Be- 
schaffung und Verwendung personen- 
bezogener Daten britischer Bürger, 
die im Internet öffentlich zugänglich 
sind, einzustellen und deren Daten 
aus seinen Systemen zu löschen. 

Eine gemeinsame Untersuchung mit 
dem Office ofthe Australian Informa- 
tion Commissioner (OAIC) befasste 
sich mit der Verwendung von Perso- 
nenbildern durch Clearview AI, das 
Auslesen von Daten aus dem Internet 
und die Verwendung der biometri- 
schen Daten zur Gesichtserkennung. 
Demnach hat Clearview AI mehr als 20 
Milliarden Bilder von Gesichtern und 
Daten aus öffentlich zugänglichen 
Informationen im Internet und auf 
Social-Media-Plattformen in der gan- 
zen Welt gesammelt, um eine Online- 
Datenbank zu erstellen. Die Menschen 
wurden nicht darüber informiert, dass 
ihre Bilder gesammelt oder verwendet 
wurden. 

John Edwards, der britische Infor- 
mationsbeauftragte, erläuterte: „Das 
Unternehmen ermöglicht nicht nur 
die Identifizierung dieser Personen, 
sondern überwacht auch ihr Verhal- 
ten und bietet dies als kommerzielle 
Dienstleistung an. Das ist inakzepta- 
bel. Deshalb haben wir gehandelt, um 
die Menschen im Vereinigten König- 
reich zu schützen, indem wir dem Un- 
ternehmen eine Geldstrafe auferlegt 
und einen Vollstreckungsbescheid 
erlassen haben. Die Menschen erwar- 
ten, dass ihre persönlichen Daten re- 
spektiert werden, unabhängig davon, 
wo auf der Welt ihre Daten verwendet 
werden. Deshalb brauchen globale Un- 


ternehmen eine internationale Durch- 
setzung. Die Zusammenarbeit mit 
Kollegen auf der ganzen Welt hat uns 
geholfen diese Maßnahme zu ergreifen 
und die Menschen vor solch aufdring- 
lichen Aktivitäten zu schützen.” 
Kunden von Clearview, einschließ- 
lich der Polizei, können das Bild einer 
Person in die App des Unternehmens 
hochladen, damit es dann auf eine 
Übereinstimmung mit allen Bildern in 
der Datenbank überprüft wird. Die App 
liefert darauf eine Liste von Bildern, 
die ähnliche Merkmale aufweisen wie 
das hochgeladene Foto, mit einem 
Link zu den Websites, von denen die- 
se Bilder stammen. Zwar bietet Clear- 
view AI seine Dienste nicht mehr für 
britische Organisationen an, hat aber 
Kunden in anderen Ländern, so dass 
immer noch personenbezogene Daten 
von im Vereinigten Königreich ansäs- 
sigen Personen verwendet werden. 
Kurz zuvor war Clearviews umstrit- 
tene Gesichtserkennungs-App für 
private US-Firmen verboten worden. 
Nach einer gerichtlichen Einigung mit 
einer Bürgerrechtsorganisation darf 
Clearview AI die biometrischen Daten 
seiner Gesichtserkennungssoftware 
in den USA nicht mehr an Unterneh- 
men und private Akteure verkaufen. 
Auch das EU-Parlament fordert ein 
Aus für biometrische Massenüberwa- 
chung und Social Scoring. Ermittlern 
soll laut der Anfang Oktober 2021 an- 
genommenen Resolution untersagt 
werden private Gesichtserkennungs- 
datenbanken zu nutzen, wie sie etwa 
Clearview AI zusammengetragen hat. 
Das auf biometrische Gesichtserken- 
nung spezialisierte US-Unternehmen 
sieht sich trotz zahlreicher rechtlicher 
Querelen und internationaler Kritik 
auf massivem Expansionskurs. Clear- 
view will seine Datenbank mit 100 
Milliarden Gesichtsfotos füllen und 
binnen eines Jahres „fast jeden Men- 
schen auf der Welt” identifizieren und 
auch Firmenmitarbeiter überwachen 
können. Die Ukraine setzt Clearview 
AI bereits zur Identifizierung Gefalle- 
ner ein und will so getötete russische 
Soldaten identifizieren (Knobloch, 
Clearview: Britische Aufsichtsbehör- 
de verhängt Millionenstrafe, www. 
heise.de 24.05.2022, Kurzlink: 
https://heise.de/-7103797). 
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USA 


Strafzahlung für Twitter 
wegen Datenmissbrauch 
für Werbezwecke 


Der Online-Dienst Twitter hat laut Vor- 
würfen der US-Regierung Kontaktdaten 
von Nutzern für Werbung verwendet und 
muss deshalb 150 Millionen US-Dollar 
(etwa 140 Millionen Euro) zahlen. Twitter 
einigte sich auf diese Strafzahlung, um 
eine Datenschutzklage amerikanischer 
Behörden beizulegen. 

In der am 25.05.2022 veröffentlichten 
Klageschrift verweisen die Handelsbe- 
hörde FTC (Federal Trade Commission) 
und das Justizministerium darauf, dass 
Twitter die Nutzer um ihre Telefonnum- 
mern und E-Mail-Adressen mit der Be- 
gründung gebeten habe, man könne 
damit besser ihre Accounts absichern. 
Online-Dienste greifen zu E-Mails oder 
Nachrichten an Handy-Nummern zum 
Beispiel zur Anmeldung auf neuen Ge- 
räten, bei vergessenen Passwörtern oder 
um gesperrte Profile wieder freizuschal- 
ten. Twitter hat die Daten aber gemäß 
der Klage auch verwendet, um Nutzern 
personalisierte Werbung anzuzeigen. 
Damit seien die für andere Zwecke er- 
hobenen Kontaktinformationen miss- 
braucht worden. 

Zwischen Mai 2013 und September 
2019 haben demnach mehr als 140 Millio- 
nen Nutzende ihre Telefonnummern oder 
E-Mail-Adressen mit Twitter geteilt. Die 
US-Regierung sieht in der Vorgehenswei- 
se des Dienstes einen Verstoß gegen eine 
Einigung aus dem Jahr 2011, bei der sich 
Twitter unter anderem zu Transparenz 
beim Datenschutz verpflichtet hatte. Der 
Dienst wurde von der Regierung deshalb 
als Wiederholungstäter betrachtet, was 
die Tür für eine hohe Zahlung öffnete. 

Mit 150 Mio. US-Dollar kommt Twitter 
allerdings deutlich günstiger davon als 
Facebook im Jahr 2019. Damals warfen 
US-Behörden dem weltgrößten Online- 
Netzwerk ebenfalls vor früher eingegan- 
gene Datenschutz-Verpflichtungen ver- 
letzt zu haben. Facebook zahlte fünf Mil- 
liarden Dollar und stimmte einer strik- 
teren Datenschutz-Aufsicht zu (DANA 
3/2019,164 f.). Auch Twitter muss nun 
unter anderem den Datenschutz von 
durch die FTC benannten Experten prü- 
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fen lassen und der Behörde Zwischenfäl- 
le binnen 30 Tagen melden. Außerdem 
soll Twitter ein Verfahren zur sicheren 
Anmeldung anbieten, das ohne eine Te- 
lefonnummer funktioniert. 

Die Strafzahlung und die neuen Auf- 
lagen kamen mitten im Übernahmever- 
such des Tech-Milliardärs Elon Musk bei 
Twitter. Der Deal lief nicht rund: Musk 
hatte die Übernahmevereinbarung zu- 
letzt für ausgesetzt erklärt und dies mit 
dem Verdacht begründet, dass der Anteil 
von Spam- und Bot-Accounts höher sei 
als die in offiziellen Berichten genann- 
ten Schätzungen von weniger als 5%. 
Aus Sicht der Plattform kann Musk das 
Geschäft jedoch nicht einseitig auf Eis 
legen; Twitter beharrt auf dem Kaufver- 
trag (Twitter missbraucht Kundendaten, 
SZ 27.05.2022, 20; Twitter: Strafzahlung 
nach Datenschutz-Vorwürfen, Musk 
schichtet Finanzierung um, www.heise. 
de 26.05.2022, Kurzlink: https://heise. 
de/-7123327). 


USA 


Clearview verzichtet auf 
Vermarktung bei Privatun- 
ternehmen 


Nach einer gerichtlichen Einigung darf 
Clearview AI die biometrischen Daten 
seiner umstrittenen Gesichtserkennungs- 
software in den USA nicht mehr an Unter- 
nehmen und private Akteure verkaufen 
(vgl. DANA 1/2022, 45). Das hat ein Ver- 
gleich mit der Bürgerrechtsorganisation 
ACLU (American Civil Liberties Union) von 
Illinois und Nebenklägern wie der Alliance 
Against Sexual Exploitation vor dem Hin- 
tergrund des 2008 in Kraft getretenen Da- 
tenschutzgesetzes von Illinois „Biometric 
Information Privacy Act (BIPA)” ergeben. 
Die Entscheidung ist über Illinois hinaus 
für die gesamte USA gültig. Staatliche 
Organisationen dürfen Clearviews App 
jedoch - außer in Illinois - weiter verwen- 
den. Dort gilt für einen Zeitraum von 5 
Jahren ein Verbot des Verkaufs der App an 
Strafverfolgungs- und Polizeibehörden. 

Im Jahr 2020 hatte die ACLU eine Klage 
eingereicht und Clearview Al vorgeworfen 
gegen ein Urteil von Illinois zu verstoßen. 
Nach dem BIPA dürfen „private Einrich- 
tungen oder Einzelpersonen” ohne Einwil- 
ligung der Personen nicht mehr deren bio- 


metrische Daten sammeln oder verwen- 
den; auch Fingerabdrücke, Iris-Scans und 
Co. dürften demnach nicht ohne Erlaubnis 
gesammelt werden. Unternehmen, die 
sich daran nicht halten, können beklagt 
werden. Des Weiteren muss Clearview sein 
kostenloses Testprogramm für Polizeibe- 
amte beenden und ein Opt-Out-Verfahren 
anbieten und dieses für 50.000 US-Dollar 
bei Google, Facebook oder in anderen Me- 
dien bewerben. 

Nathan Freed Wessler, stellvertreten- 
der Direktor des ACLU Speech, Privacy, 
and Technology Projects, kommentier- 
te: „Indem Clearview aufgefordert wird 
das [...] biometrische Datenschutzge- 
setz von Illinois [...] im ganzen Land 
einzuhalten, zeigt diese Einigung, dass 
strenge Datenschutzgesetze einen ech- 
ten Schutz vor Missbrauch bieten kön- 
nen. Clearview kann die eindeutigen 
biometrischen Identifikatoren der Men- 
schen nicht mehr als uneingeschränkte 
Gewinnquelle behandeln. [...] andere 
Staaten sollten dem Beispiel von Illinois 
folgen und strenge biometrische Daten- 
schutzgesetze erlassen.” 

Für das Unternehmen stelle die 
Entscheidung keine wesentliche Än- 
derung des Geschäftsmodells dar, so 
Hoan Ton-That, CEO von Clearview: 
„Clearview AI erbringt seine Dienst- 
leistungen derzeit nicht für Strafver- 
folgungsbehörden in Illinois, obwohl 
es dies rechtmäßig tun kann. Um einen 
langwierigen, kostspieligen und ablen- 
kenden Rechtsstreit mit der ACLU und 
anderen zu vermeiden, hat sich Clear- 
view AI bereit erklärt seine Dienstleis- 
tungen für einen bestimmten Zeitraum 
weiterhin nicht für Strafverfolgungs- 
behörden in Illinois anzubieten.” Seine 
Haltung bezüglich Verkäufe an private 
Unternehmen wolle das Unternehmen 
nicht ändern. „Unsere Datenbank wird 
nur Regierungsbehörden zum Zwecke 
der Aufklärung von Straftaten zur Ver- 
fügung gestellt.” 

Anwalt Lee Wolosky, der das Unter- 
nehmen vertritt, ergänzte: „Clearview 
AI wird keine Änderungen an seinem 
derzeitigen Geschäftsmodell vorneh- 
men. Es wird sein Geschäftsangebot in 
Übereinstimmung mit geltendem Recht 
weiter ausbauen.” Das Unternehmen 
werde die Anwaltskosten zahlen, die 
weitaus geringer seien als die Kosten 
für die Fortführung des Prozesses. Für 
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das im Rahmen der Einigung beschlos- 
sene Opt-Out-Verfahren muss Clearview 
ein Öffentlich und online zugängliches 
Antragsformular zur Verfügung stellen. 
Dort können Einwohner von Illinois ein 
Foto hochladen und ein Formular aus- 
füllen, das es dem Unternehmen unter- 
sagt das Bild für andere Zwecke als das 
Opt-out-Verfahren zu verwenden. In 
den nächsten fünf Jahren wird Clear- 
view dann versuchen die entsprechen- 
den Bilder aus seiner Datenbank heraus- 
zufiltern (s.o. S. 124; Koch, Clearview: 
Umstrittene Gesichtserkennungs-App 
für private US-Firmen verboten, www. 
heise.de 10.05.2022, Kurzlink: https:// 
heise.de/-7080199). 


USA 


Meta entschädigt wegen 
unzulässiger Gesichtser- 
kennung 


Meta entschädigt Nutzerinnen und 
Nutzer im US-Staat Illinois dafür, dass 
von Facebook ohne deren Zustimmung 
Gesichtserkennung eingesetzt wurde. 
2015 hatten die Betroffenen eine Sam- 
melklage gegen Meta, damals noch Fa- 
cebook, eingereicht. Grund war Face- 
books Praxis Nutzerfotos zu speichern 
und automatisch zu analysieren, um 
gegebenenfalls Personen darauf zu 
markieren. Der Biometric Information 
Privacy Act im US-Bundesstaat Illinois 
besagt, dass die automatische Gesichts- 
erkennung nur nach einer expliziten 
Einwilligung des Nutzers eingesetzt 
werden darf. 

Anfang 2021 hatten sich die Streit- 
parteien auf einen Vergleich geeinigt: 
Meta sollte insgesamt 650 Millionen 
US-Dollar an die Betroffenen zahlen. 
Da sich rund 1,6 Millionen Facebook- 
Nutzerinnen und -Nutzer aus Illinois an 
der Sammelklage beteiligten, erhalten 
sie alle nun jeweils 397 US-Dollar. Die 
meisten bekommen das Geld offenbar 
per PayPal. Wer keine digitale Zahlungs- 
möglichkeit angegeben hat, soll einen 
unauffälligen braunen Umschlag mit 
einem Scheck bekommen (Friedrich, 
Unerlaubte Gesichtserkennung in Fa- 
cebook: Meta entschädigt Nutzer in I- 
linois, www.heise.de 01.06.2022, Kurz- 
link: https://heise.de/-7129020). 
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USA 


Fruchtbarkeitsarzt als 
Samenspender enttarnt 


Nach Komplikationen bei ihrer ersten 
Schwangerschaft hat eine Frau, Arian- 
na Huhn, sich für eine klinische Studie 
angemeldet, bei der sie die DNA-Proben 
von sich und ihren Eltern einreichen 
musste. Im weiteren Verlauf förderte 
dies einen Fall von Fruchtbarkeitsbe- 
trug zu Tage: In den 70er-Jahren hatten 
sich Huhns Eltern für eine künstliche 
Befruchtung entschieden, bei der das 
Sperma ihres Vaters mit weiterem ge- 
mischt wurde. Der Arzt hatte empfoh- 
len, die künstliche Befruchtung vor 
dem Kind geheim zu halten. Arianna 
Huhn fand nun heraus, dass es sich um 
das Sperma des Arztes handelte, das die 
Eizelle ihrer Mutter befruchtete. 

Als ihre Eltern ihr anlässlich der Stu- 
die sagten, dass ihr Vater nicht ihr bio- 
logischer Vater war, begann Huhn nach 
ihrem genetischen Hintergrund zu for- 
schen. Sie machte einen DNA-Test über 
ein Testkit bei AncestryDNA und un- 
tersuchte akribisch alle Übereinstim- 
mungen der Ergebnisse. Um die Freun- 
desliste ihrer neuen Kontakte ebenfalls 
zu durchsuchen, nutzte sie auch Face- 
book. Ihre Suche führte sie auch zu dem 
Mann, der ihre Mutter befruchtet hatte. 
Dieser gab am Telefon jedoch an eine Va- 
sektomie, also eine Sterilisation, durch- 
geführt zu haben. Doch erneut fand das 
Herkunftsanalyse-Unternehmen eine 
Übereinstimmung - ihre genetische 
Tante, die Schwester des Arztes. 

Nach erneuter Konfrontation ent- 
schuldigte sich der Arzt den Betrug 
nicht vorher zugegeben zu haben. Sein 
eigenes Sperma hatte er sonst seinem 
Kollegen für seine Patientinnen ge- 
spendet, während er das Sperma seines 
Kollegen für seine eigenen Patientinnen 
verwendete. Ihre Mutter sei allerdings 
die einzige, bei der er sein eigenes Sper- 
ma verwendet habe. Außerdem waren 
sich ihre Mutter und er auch außerhalb 
des Arzt-Patienten-Verhältnisses be- 
kannt, weshalb Huhn wohl auch kei- 
ne rechtlichen Schritte einleitete. Um 
das Erlebte zu verarbeiten, trat sie der 
Facebook-Gruppe „Donor Deceived” mit 
inzwischen 113 Mitgliedern bei - einer 
Gruppe, in der Opfer von Fruchtbar- 


keitsbetrug sich austauschen. 

In den USA gibt es auf Bundesebene 
und zumeist auch auf Ebene der Bun- 
desstaaten keine Gesetze gegen Frucht- 
barkeitsbetrug. Reproduktionsmedizin 
ist weitgehend unreguliert. Da immer 
mehr Menschen auf Ahnenkunde spezi- 
alisierte Dienste in Anspruch nehmen, 
werden Fruchtbarkeitsbetrügereien 
immer wieder entdeckt. Spenderanony- 
mität wird in Zeiten massentauglicher 
DNA-Testkits von 23andMe und Ance- 
stryDNA für den Hausgebrauch in der 
Praxis immer mehr in Frage gestellt. 
2020 berichteten Medien über einen 
Arzt, der 40 Jahre lang Patientinnen 
mit seinem Samen befruchtete. Im Jahr 
2019 gab es einen Bericht über einen 
niederländischen Arzt, der auf diese Art 
und Weise schätzungsweise 200 Kinder 
gezeugt haben soll. In Deutschland darf 
ein Spender nicht mehr als 15 Kinder 
zeugen, in Großbritannien sind es bis zu 
10 Familien. In einer Fruchtbarkeitskli- 
nik in Los Angeles (Kalifornien) war es 
zu einem Fall von Embryonenverwechs- 
lung gekommen (Koch, Online-DNA- 
Test überführt Fruchtbarkeitsarzt, www. 
heise.de 19.06.2022, Kurzlink: https:// 
heise.de/-7145126). 


USA 


Bürgerrechtsorganisatio- 
nen fürchten Frauenkon- 
trolle nach Abtreibungs- 

Urteil 


Nachdem am 24.06.2022 in den 
USA das Oberste Gericht, der Supreme 
Court, das nationalweit geltende, auf 
den Fall „Roe vs. Wade“ zurückgehen- 
de liberale Abtreibungsrecht aufgeho- 
ben hat, könnten nach Befürchtungen 
von Bürgerrechtlern für Frauen, die 
abgetrieben haben, Datenspuren zum 
Verhängnis werden. Der mehrheitlich 
konservativ besetzte Gerichtshof mach- 
te mit dem Urteil den Weg für strengere 
Abtreibungsgesetze in den Bundesstaa- 
ten frei, bis hin zu kompletten Verboten. 
Einige US-Bundesstaaten hatten sich 
durch „trigger laws” schon auf die Ent- 
scheidung vorbereitet, in Staaten wie 
Arkansas, Kentucky oder Louisiana sind 
Abtreibungen nun nicht mehr erlaubt. 
Ausnahmen gibt es in der Regel nur für 


DANA ® Datenschutz Nachrichten 3/2022 


medizinische Notfälle. Es wird erwartet, 
dass die Hälfte der Bundesstaaten Ab- 
treibungen verbietet. 

So könnten beispielsweise Apps für 
Frauen, mit denen diese ihren Zyklus 
verfolgen, zum Verhängnis werden, 
wenn damit erfasste Daten künftig in 
Strafverfahren als Beweismittel heran- 
gezogen werden. Die Nicht-Regierungs- 
organisation (NGO) Center for Demo- 
cracy and Technology (CDT) erklärte: 
„Im digitalen Zeitalter öffnet diese 
Entscheidung die Tür für Strafverfol- 
gungsbehörden und private Kopfgeld- 
jäger, die riesige Mengen an privaten 
Daten von gewöhnlichen Amerikanern 
suchen“. Daten, die sensible Informati- 
onen zum Menstruationszyklus aufzei- 
gen, könnten von Datenbrokern ohne 
Wissen der Benutzer gesammelt und 
verkauft werden. Datenquellen könn- 
ten auch Webbrowser- und Suchverläu- 
fe sein, E-Mails oder SMS. CDT meint, 
dass nach der Entscheidung des Sup- 
reme Court Technologieunternehmen 
verstärkt die digitale Privatsphäre der 
Frauen schützen müssten. Sie könnten 
die Ende-zu-Ende-Verschlüsselung aus- 
weiten und weniger Daten sammeln und 
weiterverkaufen, die zeigen können, 
ob eine Frau schwanger ist. Ebenso be- 
denklich schätzen die Bürgerrechtler 
Techniken mit „künstlicher Intelligenz” 
ein, die solche Daten preisgeben könn- 
ten. Vor allem müssten diese Unterneh- 
men Anträge von Strafverfolgern genau 
prüfen, die dem Verdacht einer verbote- 
nen Abtreibung nachgehen und Daten 
herausgegeben haben wollen. Die Nut- 
zerinnen sollten rechtzeitig über solche 
Anfragen informiert werden und die 
Öffentlichkeit über die gesamte Anzahl 
von Anforderungen von Strafverfol- 
gungsbehörden. 

Und die NGO Electronic Frontier Foun- 
dation (EFF) warnte: „Alle Menschen, 
die eine Möglichkeit für eine Abtreibung 
suchen, anbieten oder erleichtern, 
müssen jetzt davon ausgehen, dass alle 
Daten, die sie online oder offline zur 
Verfügung stellen, von den Strafverfol- 
gungsbehörden gesucht werden könn- 
ten.“ Nutzer sollten die Datenschutzein- 
stellungen für die von ihnen verwende- 
ten Dienste sorgfältig überprüfen, Or- 
tungsdienste, die sie nicht benötigen, 
in Apps deaktivieren und verschlüsselte 
Messaging-Dienste verwenden. 
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Die Bürgerrechtler von Fight for the 
Future fordern die US-Regierung und 
das Parlament auf die Überwachung 
durch Unternehmen, deren Datensam- 
melei und Vorratsdatenspeicherung zu 
beenden. Nach der Entscheidung des 
Supreme Court zeige sich umso mehr, 
dass der Überwachungskapitalismus 
als Geschäftsmodell mit grundlegenden 
Menschenrechten unvereinbar sei. Des- 
sen Techniken eigneten sich perfekt, um 
Frauen zu verfolgen, die abtreiben wol- 
len oder abgetrieben haben. Fight for 
the Future weist darauf hin, dass nicht 
nur Gesundheitsdaten für Frauen heikel 
sein können. Zusammen mit Amnesty 
International und anderen Organisati- 
onen hatten die Bürgerrechtler bereits 
früher von Google gefordert unnötige 
Handy-Standortdaten nicht mehr zu 
erfassen. Durch Standortdaten könnte 
Frauen beispielsweise nachgewiesen 
werden, dass sie eine Abtreibungsklinik 
aufgesucht haben (s.u.). 

Mobiltelefondaten können als „Fens- 
ter zur Seele” missbraucht werden und 
Auskunft geben über eine Schwanger- 
schaft und ein Schwangerschaftsende. 
Die Befürchtung, dass Daten aus Zyklus- 
Apps nicht sicher gespeichert sind, wur- 
de im September 2021 genährt: Frauen, 
die die beliebte App Flo nutzen, haben 
den Anbieter verklagt, weil er Daten 
an Google, Facebook, AppsFlyer und 
Flurry weitergegeben haben soll. Ge- 
mäß Cory Doctorov von der Electronic 
Frontier Foundation (EFF) sollten sich 
Frauen nicht der Illusion hingeben, 
das Löschen einer Zyklus-App würde 
ihnen Sicherheit geben. Das Problem 
liege grundsätzlicher, nämlich bei allen 
Apps, die etwa über Google oder Face- 
book verbreitet werden - von solchen 
für Distanzunterricht bis zu jenen, mit 
denen Muslime an ihre Gebete erinnert 
werden. 

Einige Unternehmen in den USA hat- 
ten bereits vor der Entscheidung des Su- 
preme Court angekündigt ihren Mitar- 
beiterinnen Schwangerschaftsabbrüche 
zu erleichtern, darunter auch Amazon. 
Meta hatte es seinen Mitarbeitern kurz 
nach dem Urteil untersagt im internen 
Netz darüber zu diskutieren. Die Ame- 
rican Civil Liberties Union (ACLU) be- 
fürchtet, dass die Entscheidung und 
damit verbundene Haltung des Supreme 
Courts sich auch auf andere Bereiche 


auswirken könne wie zum Beispiel die 
gleichgeschlechtliche Ehe und die Emp- 
fängnisverhütung (Wilkens, US-Bür- 
gerrechtler sorgen sich nach Urteil zur 
Abtreibung um den Datenschutz, www. 
heise.de 27.06.2022, Kurzlink: https:// 
heise.de/-7154534; Brühl, Was Smart- 
phones über Abtreibungen verraten 
können, SZ 06.07.2022, 22). 


USA 


Schwangerschaftsabbruch- 
Suche über Google riskant 


Gemäß einer Studie des gemeinnüt- 
zigen Center for Countering Digital 
Hate liefern die Ergebnisse von Google- 
Suchen nach „Abtreibung“ genau das 
Gegenteil: Zentren von Abtreibungs- 
gegnern. In einem Brief fordern US-Ge- 
setzgeber Google nun auf genauere Er- 
gebnisse zu liefern. Der Studie zufolge 
lieferten 11% der angezeigten Ergeb- 
nisse in der Google-Suche nach „Ab- 
treibungsklinik in meiner Nähe” oder 
„Abtreibungspille” statt Kliniken, die 
Schwangerschaftsabbrüche vorneh- 
men, sogenannte „Krisenschwanger- 
schaftszentren”, die Frauen von einem 
Schwangerschaftsabbruch abhalten 
wollen. Der Brief, der Google zur Ausga- 
be von genaueren Ergebnissen auffor- 
dert, wurde am 17.06.2022 aufgrund 
der Studie an Google gesendet und von 
14 Senatoren und 7 Mitgliedern des 
US-Repräsentantenhauses unterzeich- 
net - alle Demokraten. Google solle 
keine Anti-Abtreibungskliniken oder 
„Fake-Krisenschwangerschaftszent- 
ren“ in den Suchergebnissen anzeigen 
oder aber mindestens „angemessen 
kennzeichnen“. In der Vergangenheit 
hätten die Frauen in diesen Einrich- 
tungen ungenaue Informationen zu 
ihrer Schwangerschaft bekommen. Das 
könne den Zugang zu einer Abtreibung 
gefährden. 

Google lehnte einen Kommentar di- 
rekt zu dem Brief, der direkt an CEO 
Sundar Pichai adressiert war, ab und 
erklärte: „Wir suchen immer nach Mög- 
lichkeiten unsere Ergebnisse zu ver- 
bessern und den Menschen zu helfen 
das zu finden, wonach sie suchen, oder 
zu verstehen, dass das, was sie suchen, 
möglicherweise nicht verfügbar ist.” 
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Die Studie wurde in 13 US-Bundes- 
staaten durchgeführt, die nach der 
Entscheidung des Obersten Gerichts- 
hofs der USA über die Anfechtung des 
Urteils „Roe vs. Wade” den Schwan- 
gerschaftsabbruch verbieten oder dies 
planen. Dabei kam auch heraus, dassin 
den Staaten 28% der Google-Anzeigen 
Anti-Abtreibungs-Zentren beinhalten 
würden, ebenso wie 37% der Ergebnis- 
se auf Google Maps. 

Im Mai 2022 war bekannt geworden, 
dass eine US-Firma auf Smartphones 
gesammelte Standortdaten zu An- und 
Abreise zu Einrichtungen verkauften, 
die unter anderem auch Abtreibun- 
gen durchführen. Auch Körperkame- 
ras und Nummernschildverfolgung 
werden bereits eingesetzt, um Men- 
schen nachzuspüren, die zu Abtrei- 
bungskliniken kommen. Das Thema 
Abtreibung spaltet die USA und seine 
Bürger (Mewes, Schwangerschaftsab- 
bruch: Google schickt Frauen teilweise 
zu Abtreibungsgegnern, www.heise.de 
19.06.2022, Kurzlink: https://heise. 
de/-7145102). 


USA 


T-Mobile nach Datenleak zu 
Vergleich über 500 Mio. US- 
Dollar bereit 


Die US-amerikanische Telekom-Toch- 
terfirma T-Mobile US will mit einer Zah- 
lung von einer halben Milliarde Dollar 
Nutzerklagen nach einem großen Cy- 
berangriff beilegen. Davon sollen 350 
Mio. US-Dollar (343 Mio. Euro) in einen 
Fonds für klagende US-Kunden fließen. 
Weitere 150 Mio. Dollar will T-Mobile US 
demnach in diesem und im kommenden 
Jahr für die Verbesserung der Cybersi- 
cherheit ausgeben. 

T-Mobile US hatte im August 2021 be- 
stätigt, dass Daten von Millionen Kun- 
den gestohlen wurden (DANA 4/2021, 
258). Laut Gerichtsunterlagen sind 
davon 76,6 Mio. US-Einwohner betrof- 
fen. Zu den erbeuteten Nutzerdaten 
gehörten unter anderem Namen und 
Telefonnummern. Etwas später wurde 
bekannt, dass die unbekannten Angrei- 
fer eine Lücke in einem ungeschützten 
Router genutzt hatten. Dafür hätten sie 
die Internetadresse von T-Mobile mit ei- 
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nem Öffentlich zugänglichen Tool nach 
Schwachstellen abgesucht. 

Nach dem Cyberangriff wurde T-Mobi- 
le US in Sammelklagen unzureichender 
Schutz der Nutzerdaten vorgeworfen. 
Im Dezember 2021 wurden in Missou- 
ri mehrere Klagen gebündelt (Case No. 
21-md-03019-BCW). Wie in solchen Fäl- 
len üblich, hält T-Mobile US ausdrück- 
lich fest, dass die Vereinbarung kein 
Schuldeingeständnis bedeute. Dem 
Deal muss noch der zuständige Richter 
im US-Bundesstaat Missouri zustim- 
men. Das kann nach Einschätzung von 
T-Mobile US im Dezember passieren - 
Berufungsverfahren könnten aber noch 
für Verzögerungen sorgen, hieß es. 

T-Mobile US hatte nach eigenen Anga- 
ben zum Ende des ersten Quartals 2022 
in den USA knapp 110 Mio. Kundinnen 
und Kunden. Mit ihnen setzte das Un- 
ternehmen in den drei Monaten 20 Mil- 
liarden US-Dollar um und erwirtschaf- 
tete einen Nettogewinn von 713 Mio. 
US-Dollar. Im April 2022 erhöhte die 
Deutsche Telekom ihre Beteiligung an 
der US-Tochter auf 48,4% (Wilkens, Da- 
tenklau: T-Mobile US will 500 Millionen 
Dollar im Vergleich zahlen, www.heise. 
de 24.07.2022, Kurzlink: https://heise. 
de/-7188520). 


USA/China 


Videoüberwacher Hikvision 
im Visier der US-Admini- 
stration 


Die chinesische Firma Hikvision stand 
bisher nicht im öffentlichen Rampen- 
licht, ist aber mit ihren Überwachungs- 
systemen für die Polizei bis hin zu Baby- 
fonen in mehr als 190 Ländern präsent. 
Die Fähigkeit, qualitativ hochwertige 
Produkte zu günstigen Preisen herzu- 
stellen und gute Drähte zum chinesi- 
schen Staat haben dazu geführt, dass 
Hikvision zum größten Hersteller von 
Videoüberwachungstechnik weltweit 
geworden ist. Das Unternehmen hat 
Chinas massives polizeiliches Überwa- 
chungssystem mit aufgebaut und es auf 
die Unterdrückung der muslimischen 
Minderheit in Xinjiang zugeschnitten. 
Deshalb hat die US-Regierung seit 2019 
mehrmals Sanktionen gegen das Unter- 
nehmen verhängt. 


« SDN-Sanktion geplant 


Noch im Jahr 2022 erwägt das US- 
Finanzministerium offenbar Hikvision 
in die Liste der „Specially Designated 
Nationals and Blocked Persons” (SDN) 
aufzunehmen, die normalerweise Paria- 
staaten wie Nordkorea oder dem Iran 
vorbehalten ist. Die Aufnahme in die 
SDN-Liste würde aus US-Prespektive 
quasi jedem weltweit verbieten mit Hik- 
vision Geschäfte zu machen. Dies wäre 
eine härtere Sanktion als die, der bei- 
spielsweise das chinesische Unterneh- 
men Huawei unterliegt. Denn Länder 
und Unternehmen würden riskieren auf 
dieselbe Liste der USA gesetzt zu wer- 
den, wenn sie sich nicht daran halten. 
Die Millionen von Hikvision-Kameras, 
die derzeit im Einsatz sind, müssen zwar 
nicht über Nacht entfernt werden, doch 
sie würden in Zukunft nicht mehr zum 
Verkauf angeboten. Conor Healy, der 
bei IPVM, einer Online-Fachpublikation 
für die Videoüberwachungsbranche, zu 
Hikvision recherchiert hat, erklärte: 
„Dadurch könnte Hikvision sehr schnell 
zu einem rein einheimischen Unterneh- 
men werden.” 


« Eine globale Erfolgsgeschichte 


Hikvision wurde 2001 gegründet 
und war perfekt positioniert, um aus 
den Sicherheitsverschärfungen in vie- 
len Ländern nach den Anschlägen am 
11.09.2001 Kapital zu schlagen. Das 
Unternehmen begann mit dem Verkauf 
von Capture-Karten, die in Überwa- 
chungssystemen verwendet werden 
und Videosignale digitalisieren. 2007 
führte das Unternehmen seine eigenen 
Kameras ein. Heute verkauft das Unter- 
nehmen alles, von der Software bis zur 
Hardware - in der Regel zu wesentlich 
günstigeren Preisen als die internatio- 
nale Konkurrenz. 

Das Gründungsteam bestand haupt- 
sächlich aus Ingenieuren der China 
Electronics Technology Group Cor- 
poration (CETC), einem staatlichen 
Unternehmen, das elektronische Pro- 
dukte für zivile und militärische Zwe- 
cke herstellt. Im Jahr 2008 übertrug 
Hikvision 48% seiner Anteile an CETC, 
wodurch Hikvision offiziell zur Toch- 
tergesellschaft eines staatlichen Un- 
ternehmens wurde. 
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Wie in vielen Ländern ist auch in Chi- 
na die Regierung der größte Überwa- 
chungskunde. Mit Hilfe seines staat- 
lichen Hintergrunds erhielt Hikvision 
schon bald große und kleine Aufträge 
von lokalen Regierungen zum Bau von 
Polizeiüberwachungs- oder Verkehrs- 
kontrollsystemen. Vor allem wurde Hik- 
vision zu einem wichtigen Bestandteil 
der chinesischen Polizeiprojekte „Sky- 
net” und „Sharp Eyes”, die darauf abzie- 
len in jeder Straße Kameras zur Überwa- 
chung der Menschen aufzustellen. 2018 
erhielt Hikvision einen 125-Millionen- 
US-Dollar-Auftrag für den Bau und die 
Aktualisierung von 45.000 Kameras in 
der chinesischen Stadt Xi’an, von denen 
16.000 Stück mit Funktionen zur Men- 
schen- oder Gesichtserkennung ausge- 
stattet werden sollen. 

Hikvision war von Anfang an global 
ausgerichtet. 2004 begann das Unter- 
nehmen seinen Namen in mehr als hun- 
dert Ländern als Marke registrieren zu 
lassen. 2010 war das Unternehmen dank 
seines Netzwerks von Überwachungska- 
meras, die über Digital-Video-Recorder- 
Systeme (DVR) ihre Daten speichern, der 
weltweit führende Anbieter von digita- 
len Videoaufzeichnern. Die Verkäufe in 
Übersee machten 27% des Umsatzes von 
12,42 Mrd. US-Dollar im Jahr 2021 aus. 

Eine Studie des Branchenmediums 
Top10VPN aus dem Jahr 2021 nutzte die 
Shodan-Suchmaschine (die das Inter- 
net nach den eindeutigen IP-Adressen 
von Geräten, in diesem Fall Kameras, 
durchsucht) und fand 4,8 Millionen 
Netzwerke mit Hikvision-Geräten in 
191 Ländern außerhalb Chinas. Mit 
über 600.000 Hikvision-Systemen ha- 
ben die USA die zweithöchste Anzahl 
an Kameras des Unternehmens, gleich 
nach Vietnam. Jedes dieser gefundenen 
IP-Netzwerke kann bis zu 24 Hikvision- 
Kameras unterstützen. 

Allein in London wurden 55.455 Hik- 
vision-Netzwerke gefunden. Samuel 
Woodhams, Researcher bei Top10VPN, 
der die Studie durchgeführt hat, meinte: 
„Nach meiner Erfahrung, die ich bei ei- 
nem Spaziergang durch London gewon- 
nen habe, liegt die Zahl wahrscheinlich 
um ein Vielfaches höher. Sie sind in fast 
jedem Supermarkt zu finden.” Die weite 
Verbreitung von Hikvision-Kameras im 
Ausland hat Ängste um die nationale Si- 
cherheit ausgelöst, auch wenn nicht be- 
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wiesen ist, dass das Unternehmen seine 
Daten aus dem Ausland zurück nach Chi- 
na überträgt. 2019 verabschiedeten die 
USA ein Gesetz, das Hikvision jegliche 
Verträge mit der dortigen Bundesregie- 
rung verbietet. 


* Repressionskomplize der chinesi- 
schen Regierung 


Berüchtigt wurde Hikvision durch 
seine Beteiligung an Chinas Unterdrü- 
ckungssystem in Xinjiang gegen die dor- 
tige muslimische Minderheit der Uiguren. 
Zahlreiche Überwachungskameras, von 
denen viele mit fortschrittlicher Gesichts- 
erkennung ausgestattet sind, wurden so- 
wohl innerhalb als auch außerhalb von 
Umerziehungslagern in Xinjiang instal- 
liert, um die Kontrolle der Regierung über 
die Region zu stärken. Und Hikvision hat 
einen großen Anteil an den Aktivitäten. 
Es wurde festgestellt, dass das Unter- 
nehmen mindestens 275 Mio. US-Dollar 
an Regierungsverträgen zum Aufbau von 
Überwachungsanlagen in der Region er- 
halten hat und KI-Kameras entwickelt 
wurden, die physische Merkmale uiguri- 
scher Ethnizität erkennen können. 

Aufvon MITTechnology Review gestell- 
te Fragen zu Xinjiang antwortete Hikvisi- 
on mit der allgemeinen Erklärung, dass 
das Unternehmen „die geltenden Geset- 
ze und Vorschriften in den Ländern, in 
denen wir tätig sind, strikt befolgt” und 
weiterhin befolgen werde „und dabeieine 
international anerkannte geschäftliche 
Ethik” sowie lokale Geschäftsstandards 
beachte. Darren Byler, Anthropologe an 
der Simon Fraser University und Autor 
von „In the Camps: Chinas High-Tech- 
Strafkolonie“, meinte dazu: „Die Art und 
Weise, wie [Unternehmen wie Hikvision] 
in der Lage sind Menschen durch Kont- 
rollpunkte und Gesichtserkennungssys- 
teme in ihrer Freiheit zu beschränken, 
hat die gesamte Region, zumindest aus 
Sicht der Uiguren, in ein scheinbar fle- 
xibles aber nach außen geschlossenes 
System verwandelt. Sie sprechen oft von 
einem Freiluftgefängnis. Und das wäre 
ohne diese Technologieunternehmen 
wirklich nicht möglich.” 


° Drohende Konsequenzen 


Die Aufnahme von Hikvision auf die 
SDN-Liste würde die Spannungen zwi- 


schen den USA und China verschärfen. 
Nach einer solchen Entscheidung, so 
Healy, könnten Personen strafrechtlich 
verfolgt werden, die mit dem Unterneh- 
men arbeiten oder Geschäfte machen: 
„[Hikvision] kann nicht mehr mit dem 
US-Dollar oder dem US-Finanzsystem 
interagieren. Und andere Banken und 
andere Finanzinstitute in der ganzen 
Welt werden im Allgemeinen auch kei- 
ne Geschäfte mit ihnen machen, weil 
sie ihren Zugang zum US-Dollar und zu 
den US-Finanzmärkten aufrechterhal- 
ten wollen.” Welche Konsequenzen die 
Aufnahme auf die SDN-Liste konkret 
für Hikvision bedeuten würde, ist noch 
unklar. Die herkömmlichen Sanktions- 
instrumente waren bisher nicht für das 
Internet konzipiert. Jon Bateman, Se- 
nior Fellow für Technologie und inter- 
nationale Angelegenheiten beim Carne- 
gie Endowment for International Peace 
meinte: „Wir befinden uns in einer Ära 
der Schaffung von Präzedenzfällen in 
Bezug aufrestriktive Maßnahmen.” 

Bisher wurde kein großes Technolo- 
gieunternehmen, dessen Produkte welt- 
weit verkauft werden, auf die SDN-Liste 
gesetzt. Huawei, das derzeitige „Aus- 
hängeschild“ für Technologieunterneh- 
men im Spannungsfeld zwischen den 
USA und China, darf keine US-Produkte 
kaufen, keine US-Investitionen erhal- 
ten oder in den USA Geräte verkaufen, 
aber Huawei-Produkte werden weiter- 
hin außerhalb der USA verkauft. Sollte 
Hikvision tatsächlich auf der SDN-Liste 
landen, wäre dies ein Experiment mit 
der Frage, wie Technik - sowohl Hard- 
ware als auch Software - international 
verboten werden kann. 

Berichten der Financial Times zufol- 
ge informieren US-Diplomaten bereits 
ausländische Regierungen darüber, was 
die USA mit Hikvision zu tun geden- 
ken. Die härteren Sanktionen werden 
wahrscheinlich in Ländern wie Groß- 
britannien oder Norwegen begrüßt, 
die ihre eigenen Untersuchungen über 
die Mitschuld von Hikvision an Men- 
schenrechtsverletzungen in Xinjiang 
durchgeführt haben. Bateman warnt 
jedoch davor, dass - da die Sanktionen 
in erster Linie eine einseitige Entschei- 
dung der USA sind - nicht jedes andere 
Land zwangsläufig mit der Strenge und 
dem Ausmaß der Maßnahmen einver- 
standen sein wird: „Je mehr die US- 
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Regierung von diesen unilateralen Ins- 
trumenten Gebrauch macht, desto mehr 
Fragen werden in den ausländischen 
Hauptstädten aufgeworfen, ob sie bei 
der Anwendung dieser Instrumente ein 
Mitspracherecht haben, und wenn ja, in 
welchem Umfang.” 

China hat seinerseits seine Unter- 
stützung für Hikvision zum Ausdruck 


Technik-Nach 


gebracht. Als Reaktion auf die Nach- 
richt über die möglichen Sanktionen 
beschuldigte ein Sprecher des Außen- 
ministeriums die USA „die staatliche 
Macht und das nationale Recht zu 
missbrauchen, um chinesische Unter- 
nehmen mutwillig zu unterdrücken”. 
Der florierende Inlandsmarkt in China 
mag Hikvision noch am Leben erhalten, 


hten 


doch für chinesische Unternehmen, die 
sich im Ausland einen Namen machen 
wollen, wäre dies ein großer Rückschlag 
(Yang, Videoüberwachung: Die größte 
Überwachungsfirma, von der Sie nie ge- 
hört haben, www.heise.de 12.07.2022; 
Kurzlink: https://heise.de/-7158966). 


Apple testet Gesichts- 
erkennung illegal an 
Mitarbeitenden 


Die 35-jährige ehemalige Apple- 
Projektmanagerin und Whistleblowe- 
rin Ashley Gjovik legte offen, dass der 
Apple-Konzern seine Mitarbeitenden 
und Fotos von deren Gesichtern in 
unzulässiger Weise als Material für das 
Training seiner Gesichtserkennungs- 
software benutzte. Im August 2017 hat- 
te sie eine E-Mail erhalten, in der sie zu 
einer „Data Collection Social Hour” ein- 
geladen wurde. Auf der Datenparty soll- 
te es Getränke und Musik sowie „20 Mi- 
nuten Datensammlung in sozialer Um- 
gebung” geben. Eingeladen waren nur 
festangestellte Beschäftigte. Solche, 
die empfindlich auf Licht reagierten, 
waren von dem Event ausgeschlossen. 
Eigentlich bestand keine Verpflichtung 
die Datenparty zu besuchen, so Gjovik. 
Für sie habe sich das Ganze aber nicht 
wirklich freiwillig angefühlt. 

Die „Party“ erwies sich als Zusammen- 
kunft auf einem Parkplatz, umgeben 
von schwarz verkleideten drei Meter 
hohen Stahlzäunen und überwacht von 
Security und Kameras. An der Bar habe 
ein misslauniger Mitarbeiter im Hawaii- 
Hemd bedient; ein Anderer führte Gjovik 
und vier andere Apple-Beschäftigte an 
einen Klapptisch und erklärte den Anwe- 
senden, dass sie Selfies aus allen Lagen 
machen sollten - mit einer eigens ent- 
wickelten App: Glimmer. Ziel war es die 
Algorithmen der Gesichtserkennungs- 
software Face-ID von Apple zu trainieren. 
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Sie unterschrieb eine digitale Ein- 
verständniserklärung, von der sie nie 
eine Kopie bekam. Dann habe jeder das 
neue, noch nicht veröffentlichte iPho- 
ne-ModellX erhalten, auf dem „Gobbler” 
(auf deutsch „Verschlinger“) installiert 
war. Später änderte Apple den Namen 
in „Glimmer“”. Bei knapp 40 Grad in der 
brütenden Sonne habe sie sich dann, so 
Gjovik, schwitzend selbst fotografiert, 
von oben, von der Seite, mit Sonnenbril- 
le oder Grimasse schneidend. So sollten 
die Apple-Mitarbeiter den Algorithmus 
von FacelD füttern. Das Feature dient 
dazu das Mobilphone über Gesichtser- 
kennung zu entsperren. Apple setzte, so 
Gjovik, neben solchen Datenpartys wohl 
auch auf heimlich geschossene Bilder 
seiner Angestellten aus intimen Situa- 
tionen. 

Um die Gesichtserkennung zu verbes- 
sern, soll Apple seinen Mitarbeitenden 
ein iPhone X auf dem sie - im Apple- 
Sprech - „leben“ sollten, mit vorinstal- 
lierter Glimmer-App zur Verfügung ge- 
stellt haben und die Nutzer:innen über 
Jahre permanent und automatisch foto- 
grafiert haben. Mitarbeitende, die 100 
Bilder pro Tag oder 2.000 Bilder im Mo- 
nat von sich hochluden, erhielten einen 
virtuellen Orden. Zwangsläufig wurden 
dabei auch Bilder von Freunden, Ge- 
schwistern oder Wildfremden erfasst, 
die dem Ganzen nicht einmal formal zu- 
gestimmt hatten. Der Studienleiter hat- 
te die Teilnehmenden instruiert: „Alle 
Daten, die eure Gesichter im Bild ha- 
ben, sind gute Daten.” Der Algorithmus 
sei „datenhungrig”. Ende 2020 prahlte 
der Studienleiter in einem Blogbeitrag, 


Apple habe für den Start von FacelD eine 
Milliarde Bilder gesammelt. Rund vier 
Jahre lang fotografierte die App sie im 
Halbschlaf oder auf der Toilette; selbst 
Nacktbilder, so Gjovik, seien von ihr 
gespeichert gewesen. Sie schätzt, dass 
hunderte Bilder pro Tag von der App 
aufgenommen wurden. Zu einem Wider- 
spruch habe sie sich zunächst nicht ge- 
traut: „Apples Kultur der Geheimnistue- 
rei sickert tief ins Bewusstsein ein. Du 
hast Angst selbst mit Behörden über of- 
fensichtliches Fehlverhalten zu reden.” 

Im August 2021 löste Gjovik mit der 
Offenlegung dieser Praktiken einen 
Skandal im Apple-Universum aus und 
musste letztlich den Konzern verlas- 
sen. Nach Abschluss ihres Jurastudi- 
ums hat sich die ehemalige Apple-Mit- 
arbeiterin im Juni 2022 wegen mögli- 
cher Verletzung ihrer Privatsphäre an 
die kalifornische Datenschutzbehörde 
sowie den Bundesdatenschutzbeauf- 
tragten in Deutschland gewandt. Der 
Fall liegt jetzt bei der bayerischen Da- 
tenschutzbehörde, weil sich Apples 
Deutschlandzentrale in München be- 
findet. Dort forscht Apple auch an Bil- 
derkennung und FacelD. 

Weil Angestellte trotz Einwilligungs- 
erklärung durch das Abhängigkeitsver- 
hältnis zu ihrem Arbeitgeber bei solchen 
fragwürdigen Aktionen nicht wirklich 
freiwillig mitgemacht haben könnten, 
sieht die Arbeitsrechtlerin Annegret 
Balzer durchaus die Möglichkeit eines 
Datenschutzverstoßes seitens Apple 
gegeben. Dann könnte dem iPhone- 
Konzern eine Strafe in Millionenhöhe 
drohen. 


DANA ® Datenschutz Nachrichten 3/2022 


Im September 2021 feuerte Apple die 
Frau nach sechseinhalb Jahren im Un- 
ternehmen, weil sie mit der Veröffentli- 
chung der Bilder ihre Vertraulichkeits- 
verpflichtung gebrochen habe, so Apple- 
Anwälte im März 2022 in einer Stellung- 
nahme an das Whistleblowerprogramm 
des US-Arbeitsministeriums. Gjovik 
arbeitet inzwischen bei einer Nicht- 
regierungsorganisation, die gegen Zen- 
sur in China kämpft. Sie wehrt sich vor 
dem US-Arbeitsschutzgremium NLRB 
gegen ihre Kündigung. Apple wiederum 
argumentiert mit der Verletzung einer 
Vertraulichkeitsvereinbarung durch die 
Whistleblowerin. Die Börsenaufsicht 
SEC interessiert sich für den Fall; sie 
möchte wissen, ob Apple eine Whistle- 
blowerin kaltstellen will. Das Verfahren 
kann sich lange hinziehen. Statt eines 
iPhones nutzt Gjovik jetzt ein Android- 
Smartphone. 

Die Aktion Apples ist von Interesse, 
da sich der Konzern in der Öffentlich- 
keit gern als Vorreiter in puncto Daten- 
schutz präsentiert. Hinter den Kulissen 
scheint dafür aber wenig Platz zu sein. 
Apple-Chef Tim Cook stellt sich immer 
wieder als Vorreiter des Datenschutzes 
dar: „Wenn wir anfangen uns perma- 
nent überwacht zu fühlen, verändert 
sich unser Verhalten. Wir fangen an 
weniger zu tun, weniger nachzuden- 
ken.” Die Maßnahmen des Konzerns 
etwa gegen das App-Tracking - die ent- 
sprechenden Einstellungsmöglichkei- 
ten sollen allein Meta (Facebook) Mil- 
liarden kosten - können den Eindruck 
vermitteln, dass es der iPhone-Konzern 
mit dem Datenschutz durchaus ernst 
meint. 

Dass der Einsatz von Glimmer heikel 
ist, scheint Apple durchaus bewusst zu 
sein. Im August 2017 schrieb der Leiter 
der Studie zur Gesichtserkennung in 
einer Mail an Teilnehmer, dass Mitar- 
beiter aus Frankreich und Deutschland 
ausgeschlossen seien. Eine solche Nut- 
zerstudie, so später in einem LinkedIn- 
Post, würde nach der dortigen Rechts- 
lage immer als Zwang interpretiert 
(Beuth/Demling, iPhone is watching 
you, Der Spiegel Nr. 26, 25.06.2022, 
74 ff.; Brien, Whistleblowerin: Apple 
lud Mitarbeiter zu Datenparty, um Face- 
ID fürs iPhone zu trainieren, https:// 
t3n.de/news/whistleblowerin-apple- 
datenparty-1481776/ 24.06.2022). 
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Vodafone drängt mit Trust- 
Pid auf den Werbemarkt 


Bisher leiten Mobilfunkprovider den 
Datenverkehr ihrer Endkunden weitge- 
hend unangetastet ins Internet weiter. 
Mit TrustPid würde Vodafone in diesen 
Datenverkehr eingreifen und den Nut- 
zern eine feste Kennung zuweisen, die 
sich unter anderem nach der Mobilfunk- 
nummer eines Kunden richtet. Diese 
Kennung könnten dann Website-Betrei- 
ber abrufen, um genau zu erfassen, wel- 
che Inhalte sich ein Mobilfunknutzer 
anguckt, um daraus ein Personenprofil 
zu bilden und zielgerichtet Werbung 
auszuspielen. Das Argument: Nur über 
solche Datengeschäfte könnten viele 
Online-Angebote genug Einkünfte er- 
wirtschaften, um in Zukunft kostenfrei 
zu bleiben. 

Werbetreibende suchen nach ent- 
sprechenden Lösungen. Seit der iPho- 
ne-Hersteller Apple begonnen hat das 
allumfassende Tracking zu Werbezwe- 
cken zurückzudrängen, beklagen sich 
große Markenartikler, dass sie noch 
allenfalls die Hälfte der Werbe-Cookies 
verwenden können. Wenn Google 2023 
wie geplant den Werbe-Cookie in Chro- 
me abschaltet, müsste die technische 
Grundlage des Anzeigengeschäfts auf 
eine völlig neue technische Grundlage 
gestellt werden. 

Die Werbebranche will sich aber 
auch künftig nicht auf unpersonali- 
sierte Werbung beschränken und zum 
Beispiel Auto-Werbung bevorzugt bei 
Websites und Artikeln mit Autobezug 
ausspielen. Daher hat ein regelrechtes 
Wettrennen der Anbieter von Werbe- 
IDs begonnen, die ihrer Kundschaft 
versprechen Nutzer auch weiterhin 
tracken zu können. Einerseits versucht 
die Branche die Tracking-Sperren tech- 
nisch zu umgehen. Dazu werden die 
Werbe-Cookies zum Beispiel auf un- 
verdächtige Server verschoben. Oder 
die Nutzer werden beim Besuch einer 
Webseite im Hintergrund über ver- 
schiedene andere Domains umgeleitet, 
die dann selbst Cookies setzen. Gleich- 
zeitig wollen immer mehr Anbieter die 
Nutzer dazu bringen sich dauerhaft 
einzuloggen und dabei sämtliche Da- 
tenverarbeitungen zu akzeptieren. 

Mobilfunkprovider wie Vodafone und 
die Telekom sind in einer einmaligen 


Position. Selbst wenn der Browser rou- 
tinemäßig Cookies löscht oder sogar die 
IP-Adresse wechselt, kann der Provider 
immer noch den Datenverkehr mit der 
jeweiligen Mobilfunknummer verknüp- 
fen. Die Werbekunden wollen zwar kei- 
nen Zugriff auf Namen oder die echte 
Mobilfunknummer bekommen, sondern 
nur aufeine pseudonyme Kennung. Die- 
se kann aber schnell wieder einem kon- 
kreten Nutzerprofil zugewiesen werden, 
etwa, wenn man bei einem Online-Shop 
einkauft oder sich bei einem E-Mail-Pro- 
vider einloggt. 

Eine neue Funktion von Apple könnte 
das Geschäft aber wieder zunichtema- 
chen. Beim sogenannten „iCloud Privat- 
Relay“ werden die Daten verschlüsselt 
über die Server Apples umgeleitet, die 
Provider haben so keinen Zugriff mehr. 
Vodafone und die Deutsche Telekom 
haben deshalb bereits bei der Europäi- 
schen Kommission Beschwerde einge- 
legt. Parallel haben die Provider eine ge- 
meinsame Lobby-Kampagne begonnen, 
um zu erreichen, dass sie den Datenver- 
kehr ihrer Endkunden selbst monetari- 
sieren dürfen, um den Netzausbau zu 
finanzieren. Die für das Digitale zustän- 
dige EU-Kommissarin Margrethe Vesta- 
ger zeigte sich offen gegenüber solchen 
Vorschlägen. 

TrustPid befindet sich bisher in einem 
Test-Stadium. Ein Sprecher von Voda- 
fone Deutschland erklärte, dass der 
Dienst Teil einer „technischen Lösung 
für digitale Werbung in Europa” sei, 
von der „Verbraucher, Werbetreibende 
und Verlage gleichermaßen profitieren 
könnten”. Wie viele Kunden an dem 
Testbetrieb teilnehmen, verrät Vodafo- 
ne nicht. Der Sprecher versichert aber, 
dass diese über die Datenverarbeitung 
informiert seien. TrustPid ist bisher of- 
fenbar noch nicht routinemäßig bei al- 
len Kunden von Telekom und Vodafone 
in Deutschland im Einsatz. 

Bislang scheint sich auch nur eine 
einzige Website an dem Verfahren zu 
beteiligen. Bild.de hat einen Verweis 
auf das neue Programm in seine Da- 
tenschutzbedingungen aufgenommen 
und bietet auch ein Widerrufsformular 
an, um der Nutzung der Mobilfunk- 
ID zu widersprechen. Wohin die Rei- 
se geht, wird deutlich, wenn man die 
rudimentäre Website von TrustPid 
aufruft: Vodafone will nicht nur die 
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Werbekennung bereitstellen, sondern 
auch verwalten, wer auf diese Kennung 
zugreifen kann. So ist auf der Website 
eine Funktion eingebaut, mit der die 
Mobilfunk-Kunden ihre Zustimmung 
zur Datenverarbeitung bei einzelnen 
Werbepartnern erteilen oder widerru- 
fen können. Dies würde den Providern 
eine zentrale Rolle bei der Werbever- 
marktung verschaffen, die sie sich na- 
türlich bezahlen lassen wollen. 

Bereits 2012 hatte der US-Provider 
Verizon eine ganz ähnliche Technik ein- 
gesetzt, um die eigenen Nutzer zu tra- 
cken. Erst Jahre später wurden die soge- 
nannten unlöschbaren „Super-Cookies” 
bekannt und der Provider musste eine 
Geldstrafe zahlen. Solche Konflikte will 
Vodafone vermeiden und erklärte: „Wir 
nehmen den Schutz der Privatsphäre, 
Datensicherheit und die Einhaltung 
der Gesetze zum Datenschutz und zur 
Privatsphäre sehr ernst.” Doch es ist 
fraglich, ob Nutzer überhaupt einschät- 
zen können, wofür die Daten genutzt 
werden, die ihr Handy ständig über sie 
sammelt. Welches Ausmaß die Daten- 
sammelwut inzwischen erreicht, zeigt 
sich zum Beispiel in den USA, wo mehre- 
re Daten-Broker routinemäßig mit den 
Profilen von Personen handelten, die 
eine Abtreibungsklinik besucht hatten 
(s.0. S. 195). 

Selbst wenn die Mobilfunkprovider 
die Daten nicht direkt an solche Daten- 
Broker zuliefern, erleichtern Werbe- 
IDs wie von Vodafone die Verknüpfung 
verschiedener Datenquellen. Bisher 
nutzten Daten-Broker routinemäßig die 
Geräte-IDs von Apple und Google, was 
die Konzerne jedoch neuerdings be- 
kämpfen. 

Die Datenschutzbehörde in Nord- 
rhein-Westfalen erklärte: „Aus unserer 
Sicht muss die Wirksamkeit der Einwil- 
ligung der Nutzer*innen hinterfragt 
werden.” Die Datenverarbeitung für 
Nutzer müsse transparent gemacht und 
die Freiwilligkeit gewährleistet werden. 
Zudem sieht die Behörde Probleme da- 
rin, dass die persönlichen Daten nicht 
auf den Geräten der Nutzer, sondern auf 
externen Servern gespeichert werden. 
Die Behörde hat deshalb angekündigt, 
die Datenschutzkonformität von Trust- 
Pid genauer zu prüfen (Kleinz, Rück- 
kehr der Super-Cookies, www.spiegel.de 
28.05.2022). 
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TAB-Gutachten: Bargeld 
gewährleistet den besten 
Datenschutz 


Das Büro für Technikfolgen-Abschät- 
zung beim Deutschen Bundestag (TAB) 
hat in einer Studie Veränderungen der 
klassischen Banken- und Bezahlsysteme 
sowie des damit einhergehenden Macht- 
gefüges analysiert und warnt in seinem 
Resümee vor einer „Welt ohne Bargeld” 
und dem zunehmenden Einfluss von Big- 
Tech-Konzernen aus den USA und China 
auf das Finanzwesen. Damit werde sich 
künftig „stärker die Frage nach der Er- 
haltung der Handlungsfähigkeit des eu- 
ropäischen Bankenwesens stellen”. 


« Bargeld wichtiges Korrektiv 


Die Forschenden vom Karlsruher Insti- 
tut für Technologie (KIT), die zusammen 
mit Kooperationspartnern die TAB-Studie 
erstellt haben, betonen: „Gegenüber un- 
baren Zahlungsmitteln bildet Bargeld ein 
wichtiges Korrektiv im Zahlungsverkehr.” 
Keine Debit- oder Kreditkarte und schon 
gar nicht Bitcoin und andere virtuelle 
Münzen erreichten „ein ähnlich hohes 
Inklusionsniveau“ und einen ähnlich gu- 
ten Schutz der Privatsphäre. „Trotzdem 
nimmt die Nutzung unbarer Zahlungs- 
mittel auch in Deutschland weiter zu.” 
Der Rückgang der Bargeldnutzung um 
14% zwischen 2017 und 2020 auf 60% 
sei beträchtlich. Dieser könne aber „im 
Wesentlichen durch pandemieinduzierte 
Nachholeffekte bewirkt worden sein”. Das 
Minus werde sich voraussichtlich in den 
nächsten Jahren wieder auf die üblichen 
ein Prozent pro Jahr einpendeln. 

Die kartengestützten Zahlverfahren 
erfolgen entweder direkt mit der De- 
bit- oder Kreditkarte am physischen 
Verkaufspunkt oder mit einer virtuel- 
len Lösung beim mobilen Bezahlen und 
bei Internetlösungen, „über die unbare 
Zahlweisen im Hintergrund abgewickelt 
werden“. Treiber seien neben der Coro- 
na-Pandemie etwa Preis, Verfügbarkeit 
und Verbreitung von Basistechnologien, 
Verbraucherwünsche und innovative Be- 
zahlansätze. Vorteile unbarer Zahlungs- 
lösungen sehen die Autoren bei deren 
Einsetzbarkeit im E-Commerce sowie im 
grenzüberschreitenden Zahlungsverkehr 
und bei Schutzmechanismen. 


« Datenschutz beim ePayment 


Das Sicherheits- und Datenschutz- 
niveau der jeweiligen Ansätze sei sehr 
unterschiedlich. So könne das Bezahlen 
mit Debitkarten im Vergleich zu vielen 
anderen unbaren Zahlweisen als relativ 
sicher bewertet werden. Auch die Pri- 
vatsphäre werde dabei nicht so stark 
ausgehöhlt. Kreditkarten schnitten in 
beiden Punkten schlechter ab. Die Ver- 
fasser arbeiten heraus, dass beineueren 
Online-Varianten wie Paypal & Co. so- 
wie mobilem Bezahlen der Datenschutz 
noch niedriger als bei Kartenzahlungen 
sei. Hier würden auch Informationen 
erhoben und verarbeitet werden, „die 
nicht in unmittelbarem Zusammenhang 
mit dem Bezahlvorgang stehen“. Beim 
Mobile Payment kämen zusätzlich zu 
generellen Authentifizierungsmecha- 
nismen zumindest Token zum Einsatz, 
was Missbrauch etwas einschränke. Ein 
zusätzlicher Sicherheitsfaktor sei gege- 
ben, wenn biometrische Merkmale zur 
Entsperrung des Smartphones notwen- 
dig seien. Die Kritik: „Bei manchen un- 
baren Bezahlverfahren wie Sofortüber- 
weisung wird der Grundsatz systemati- 
scher IT-Sicherheit verletzt.” Demnach 
sollten „für jeden Anmeldeprozess und 
Diensteanbieter neue Zugangsdaten 
verwendet werden”, die für keinen an- 
deren Service oder Dritte bekannt sind. 
Nach der zweiten EU-Zahlungsdienste- 
richtlinie (PSD2) sei dies zulässig. 

Große Unternehmen mit etablierten 
Tech-Plattformen wie Alibaba, Amazon 
und Facebook sind laut der Untersu- 
chung „inzwischen etablierte Akteure 
im Zahlungsverkehr”. Ihre Motive für 
den Markteintritt und die verfolgten 
Geschäftsmodelle seien vielfältig. Sie 
reichten von der Datengewinnung für 
Werbezwecke über das Ziel, Kunden 
möglichst lang im eigenen Ökosystem 
zu halten, bis zum Einstreichen von Ent- 
gelten durch das Angebot einschlägiger 
Produkte. Da Bezahlen dabei „mehr und 
mehr zu einer integrierten Funktion 
wird, laufen Banken Gefahr zu Abwick- 
lern im Hintergrund zu werden und da- 
mit ihre Sichtbarkeit beim Kunden zu 
verlieren”. 

Als zentrale Ideen der Notenbanken 
in der EU, um Big Tech Paroli zu bieten, 
haben die Forschenden etwa Initiativen 
für Produkte für unterschiedliche Zah- 
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lungssituationen unter einer europäi- 
schen Dachmarke ausgemacht, die auf 
Instant Payments beruhen. Angepeilt 
würden so Echtzeitüberweisungen, bei 
denen der Transfer von Geldbeträgen 
nur wenige Sekunden dauert. Auch ein 
europäisches Kartensystem sei geplant. 
Ob diese Vorhaben zeitnah verwirklicht 
werden könnten bleibe aber abzuwarten. 

Beleuchtet werden in der Studie auch 
die Auswirkungen von Krypto-Vermö- 
genswerten mit Zahlungsfunktion. Mit 
diesen ließen sich etwa schnelle und 
kostengünstige grenzüberschreitende 
Transaktionen abwickeln; bislang führ- 
ten sie aber ein Nischendasein im Zah- 
lungsverkehr. Nicht an den US-Dollar & 
Co. gekoppelte Kryptowährungen wie 
Bitcoin erfüllten derweil „durch ihre 
von Spekulationen verursachte Preis- 
volatilität nicht die Geldfunktion”. Sie 
eigneten sich vor allem nicht zur Wert- 
aufbewahrung. Aufgrund vieler ihrer 
wichtigen Eigenschaften würden sie 
ferner „häufig für kriminelle Zwecke” 
verwendet. 


« Elektronisches Zentralbankgeld 


Die vor allem von Facebook getriebe- 
ne Aussicht auf eine weltweit verfügba- 
re private digitale Währung hat laut der 
Studie bei vielen Zentralbanken dazu 


geführt Überlegungen zur Einführung 
eigener digitaler Zentralbankwährun- 
gen anzustellen oder bereits existie- 
rende Projekte hierzu beschleunigt 
voranzutreiben. Je nach Ausgestaltung 
einer solchen Central Bank Digital Cur- 
rency (CBDC) rund um Anonymität, 
Datenschutz und Sicherheit könnten 
solche Ansätze „ähnlich wie Bargeld 
eine Korrektivfunktion mit Blick auf die 
Produktkonzeption privater Zahlungs- 
dienstleister haben“. Mit CBDC seien 
Zahlungsströme besser kontrollierbar. 
Geldwäsche- und Terrorismusbekämp- 
fung würden damit erleichtert. In den 
Händen autoritärer Regime wie China 
könnten so aber auch Aktivitäten von 
Systemkritikern und gewöhnlicher Bür- 
ger leichter überwacht werden. China 
scheine im CBDC-Bereich generell die 
meisten Fortschritte gemacht zu haben. 
Mitte 2021 habe aber ferner die Euro- 
päische Zentralbank entschieden die 
Potenziale eines E-Euros genauer aus- 
zuloten. Allgemein wäre die Einführung 
von digitalem Zentralbankgeld „ein er- 
heblicher Einschnitt in das gegenwärti- 
ge Geld- und Banksystem“. 

Die Wissenschaftler gehen davon aus, 
dass die Erfahrungen aus der Pandemie 
„die Neugier auf die Vielfalt unbarer Zah- 
lungslösungen und der mit ihnen kombi- 
nierbaren Produkte und Dienstleistun- 


gen wachsen lässt”. In Verbindung mit 
einer von deutschen Banken gestützten 
einheitlichen Zahlungslösung für sämtli- 
che Kanäle, einem europäischen Karten- 
system nach europäischen Datenschutz- 
standards und einem perspektivisch ver- 
fügbaren digitalen Euro als alternatives 
gesetzliches Zahlungsmittel könnte dies 
den Rückgang der Bargeldnutzung deut- 
lich verschärfen. 

Möglicherweise müsste dann von den 
2030-ern an „über die Notwendigkeit 
gesetzlicher Standards für eine Grund- 
versorgung mit Bargeld wie in Schwe- 
den” nachgedacht werden. Dort spielen 
Münzen und Scheine kaum noch eine 
Rolle. Als Reaktion darauf habe die Re- 
gierung in Stockholm nicht nur ihr Pro- 
jekt zur E-Krone vorangetrieben, son- 
dern auch ein Gesetz erlassen, mit dem 
das Niveau der Bargeldversorgung des 
Jahres 2017 wiederhergestellt und ge- 
währleistet werden soll. Bei solchen Ge- 
genmaßnahmen tut sich dem TAB zufol- 
ge vor allem die Frage nach den Kosten 
für eine Bereitstellung der Bargeldinfra- 
struktur inklusive Geldautomaten und 
deren Übernahme auf (Krempl, Bundes- 
tag: Gutachter warnen vor „Welt ohne 
Bargeld”, www.heise.de 10.07.2022, 
Kurzlink: https://heise.de/-7167699). 


Rechtsprechung 


EuGH 


Umsetzung der Kontrolle 
mit Passenger Name 
Records wird eingeschränkt 


Der Europäische Gerichtshof (EuGH) 
hat mit Urteil vom 21.06.2022 die EU- 
Richtlinie zum Speichern und Rastern 
von Flugpassagierdaten von 2016 auf- 
rechterhalten, in ihrer Anwendbarkeit 
eingeschränkt und für die Umsetzung in 
den nationalen Vorschriften hohe Aufla- 
gen festgelegt (Az. C-817/19). Das Ur- 
teil geht auf eine Klage der Menschen- 
rechtsorganisation Ligue des droits hu- 
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mains (LDH) vor dem belgischen Verfas- 
sungsgerichtshof zurück, der 2019 dem 
EuGH Rechtsfragen vorgelegt hatte. 
Gemäß der Richtlinie können die so- 
genannten Passenger Name Records 
(PNR) grundsätzlich bis zu fünf Jahre 
lang gespeichert werden. Zu den PNR 
gehören 18 Merkmale jedes Fluggastes, 
einschließlich sensibler Informationen: 
Namen, Kontaktdaten, Geburtsdatum, 
Begleitpersonen, eventuelle Vielflie- 
gernummern, Angaben zum Flug, die 
zum Kauf des Fluges verwendeten Zah- 
lungsmittel, ein nicht näher definiertes 
Freitextfeld.  Religionszugehörigkeit, 
ethnische Herkunft und Gesundheitsda- 
ten werden nicht erfasst, so wie zuvor 


in einem entsprechenden EU-Kanada- 
Abkommen, das vom EuGH aufgehoben 
wurde (DANA 3/2017, 174 ff.). Haupt- 
zweck der Verarbeitung ist die Verhütung 
bevorstehender Verbrechen, etwa des 
Terrorismus oder schwerer Kriminalität. 
Der EuGH betont nun, dass die Ach- 
tung der Grundrechte eine Beschrän- 
kung der in der PNR-Richtlinie vorge- 
sehenen Befugnisse zur Übermittlung, 
Verarbeitung und Speicherung von 
Fluggastdaten auf das „absolut notwen- 
dige” erfordert. Werde vom nationalen 
Gesetz keine „reale und aktuelle oder 
vorhersehbare terroristische Bedro- 
hung eines Mitgliedstaats” gefordert, so 
sei das Gesetz nicht mit dem EU-Recht 
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vereinbar. Dies sei der Fall bei einer an- 
lasslosen Übermittlung und Verarbei- 
tung von Fluggastdaten etwa bei Flügen 
innerhalb der EU sowie bei Beförderun- 
gen mit anderen Mitteln wie per Bahn 
oder Schiff innerhalb der Gemeinschaft. 

In dem Urteil stellen die Luxembur- 
ger Richter fest, dass die Prüfung der 
vom belgischen Verfassungsgerichtshof 
vorgelegten Fragen nichts ergeben hat, 
was die Gültigkeit der PNR-Richtlinie an 
sich berühren könnte. Die EU-Vorgaben 
legen sie damit so aus, dass sie mit der 
Grundrechte-Charta der Gemeinschaft 
vereinbar sind. Eine ganze Reihe ihrer 
Erwägungsgründe und Bestimmungen 
erfordere eine solche Interpretation. 
Der EuGH verzichtet also auf eine völli- 
ge Aufhebung der zugrundeliegenden 
Richtlinie und versucht eine grund- 
rechtskonforme Auslegung. Dieses Vor- 
gehen, das beim deutschen Bundesver- 
fassungsgericht gang und gäbe ist, ist 
für den EuGH vergleichsweise neu. 

Das Gericht weist darauf hin, dass die 
PNR-Richtlinie „mit fraglos schwerwie- 
genden Eingriffen“ in Grundrechte wie 
das auf Privatsphäre und Datenschutz 
verbunden ist. Sie ziele „auf die Schaf- 
fung eines Systems kontinuierlicher, 
nicht zielgerichteter und systemati- 
scher Überwachung ab“, das die „auto- 
matisierte Überprüfung personenbezo- 
gener Daten” sämtlicher Flugreisender 
einschließe. Dies mache es erforderlich 
die vorgesehenen Kompetenzen in der 
nationalen Umsetzung eng auszulegen. 

Zu den vorzusehenden Schranken 
führen die Richter unter anderem aus, 
dass „die Anwendung des durch die 
Richtlinie geschaffenen Systems auf 
terroristische Straftaten und auf schwe- 
re Kriminalität mit einem - zumindest 
mittelbaren - objektiven Zusammen- 
hang mit der Beförderung von Fluggäs- 
ten beschränkt werden” müsse. Sie dür- 
fe sich etwa nicht auf strafbare Hand- 
lungen erstrecken, die zwar das in den 
EU-Vorgaben vorgesehene Kriterium in 
Bezug auf den Schweregrad erfüllten, 
angesichts der Besonderheiten des na- 
tionalen Strafrechtssystems aber zur 
„gewöhnlichen Kriminalität” gehörten. 

Die etwaige Ausdehnung der Anwen- 
dung der Richtlinie auf alle oder einen 
Teil der EU-Flüge muss sich laut dem 
EuGH „auf das absolut Notwendige be- 
schränken”. Nötig sei ferner eine Mög- 
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lichkeit der wirksamen Kontrolle durch 
ein Gericht oder eine unabhängige 
Verwaltungsstelle, deren Entscheidung 
bindend ist. Ohne reale, aktuelle oder 
vorhersehbare terroristische Bedro- 
hung dürften nur EU-Flüge einbezogen 
werden, die z.B. auf Basis konkreter Ge- 
fahrenanhaltspunkte bestimmte Flug- 
verbindungen, Reisemuster oder Flug- 
häfen betreffen. 

Für die automatisierte Vorabkontrolle 
von Flugpassagierdaten, mit der Perso- 
nen ermittelt werden sollen, die vor ih- 
rer Ankunft oder ihrem Abflug genauer 
überprüft werden müssen, dürfen nati- 
onale PNR-Zentralstellen wie die beim 
Bundeskriminalamt (BKA) diese Anga- 
ben gemäß dem Urteil nur mit Daten- 
banken für Personen oder Gegenstände 
abgleichen, nach denen gefahndet wird 
oder die Gegenstand einer Ausschrei- 
bung sind. Diese Informationssysteme 
müssen ferner frei von Diskriminierung 
sein und von den zuständigen Behörden 
im Kontext der Bekämpfung terroristi- 
scher Straftaten und schwerer Krimina- 
lität im Zusammenhang mit Flugreisen- 
den betrieben werden. 

Die Zentralstelle darf der Entschei- 
dung zufolge bei der Auslese zudem 
anhand im Voraus festgelegter Kriteri- 
en keine Technologien der Künstlichen 
Intelligenz (KI) in Form selbstlernender 
Systeme („machinelearning“) heranzie- 
hen, die ohne menschliche Einwirkung 
und Kontrolle den Bewertungsprozess 
und insbesondere die genutzten Krite- 
rien sowie deren Gewichtung ändern 
können. Die Ablehnung von KlI wird da- 
mit begründet, dass dabei die Kriterien 
verändert werden, anhand derer nach 
verdächtigen Mustern gesucht wird. Das 
würde den Rechtsschutz der Betroffe- 
nen unterlaufen. Verdachtsbewertun- 
gen müssen also menschengemacht 
bleiben. Die genannten Merkmale seien 
so festzulegen, „dass sie speziell auf 
Personen abzielen, bei denen der be- 
gründete Verdacht einer Beteiligung an 
terroristischen Straftaten oder schwerer 
Kriminalität im Sinne dieser Richtlinie 
bestehen könnte”. Dabei müssten „be- 
lastende” und „entlastende” Gesichts- 
punkte berücksichtigt werden, um Dis- 
kriminierungen zu vermeiden. 

Zwecks einer anlasslosen Speiche- 
rung muss sich diese auf verdächtige 
Flugrouten beschränken, also etwa auf 


die typischen Wege von Schleusern oder 
Drogenschmugglern. Angesichts der 
Fehlerquote, die solchen automatisier- 
ten PNR-Verarbeitungen innewohnt, 
und der erheblichen Zahl der bereits 
aufgetretenen „falsch positiven” Er- 
gebnisse, hänge die Eignung des durch 
die Richtlinie geschaffenen Systems zur 
Erreichung der verfolgten Ziele im We- 
sentlichen vom ordnungsgemäßen Ab- 
lauf der manuellen Überprüfung der im 
Rahmen der automatisierten Verarbei- 
tungen erzielten Treffer ab. Dafür müss- 
ten die EU-Staaten klare und präzise 
Regeln mit Kriterien für eine objektive 
Kontrolle vorgeben. In Deutschland laq 
die Trefferquote für potenzielle Gefähr- 
der 2019 bei 0,082 Promille. 

Nach Ankunft oder Abflug der be- 
treffenden Person dürfen PNR laut dem 
EuGH nur aufgrund neuer einschlägiger 
Umstände und objektiver Anhaltspunk- 
te zur Verfügung gestellt und überprüft 
werden. 

Der EuGH verdeutlicht, dass Artikel 12 
der Richtlinie nationalen Vorschriften 
entgegenstehe, „die eine allgemeine, 
unterschiedslos für alle Fluggäste gel- 
tende Speicherfrist” der einschlägigen 
Daten von fünf Jahren vorsehen. Nach 
Ablauf des ursprünglichen sechsmona- 
tigen Zeitraums, in dem PNR im Klartext 
personenbezogen aufbewahrt werden 
dürfen, müsse die Speicherung der 
Daten wiederum „auf das absolut Not- 
wendige beschränkt” werden. Reisen 
mit anderen Beförderungsmitteln etwa 
zu Bahnhöfen oder Seehäfen könnten 
prinzipiell zwar mit erfasst werden - 
aber nur bei einem akuten Terrorbezug. 

Der belgische Verfassungsgerichtshof 
muss nun klären, inwieweit das nationa- 
le PNR-System mit den EuGH-Leitlinien 
konform geht. Die in Belgien klagende 
LDH rügte den sehr großen Umfang der 
Daten sowie den allgemeinen Charak- 
ter ihrer Erhebung, Übermittlung und 
Verarbeitung. Das umsetzende Gesetz 
schränke die Freizügigkeit ein, da mit 
ihm auch alle Flüge innerhalb der EU 
sowie etwa Bus- und Bahnreisen erfasst 
und so indirekt wieder Grenzkontrollen 
eingeführt würden. 

Weitere Beschwerden gegen die PNR- 
Sammlung aus anderen Mitgliedsstaa- 
ten sind anhängig. In Deutschland klag- 
ten mehrere Personen 2019 mit Unter- 
stützung der Gesellschaft für Freiheits- 
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rechte (GFF) vor nationalen Gerichten 
gegen den automatisierten Transfer 
von Fluggastdaten durch Airlines wie 
die Lufthansa an das BKA. Gemäß dem 
deutschen Fluggastdatengesetz vom 
Mai 2018 kann das BKA Abgleiche mit 
Inpol-Fahndungsdateien sowie dem 
Schengener Informationssystem (SIS) 
vornehmen. Das Amtsgericht Köln legte 
dem EuGH die Frage vor, ob die hiesige 
Himmels-Rasterfahndung mit dem EU- 
Recht vereinbar sei. Die Bundesregie- 
rung bezeichnete das Vorgehen 2020 
als verhältnismäßig. Die Fluggastda- 
tenzentrale im BKA verarbeitete im glei- 
chen Jahrrund 105 Millionen Passagier- 
datensätze, während es 2019 noch etwa 
78 Millionen waren. 

GFF-Anwalt Bijan Moini, der deut- 
sche Klagen vertritt, bezweifelt, dass 
mit den Beschränkungen des EuGH viel 
gewonnen ist. Auch wenn die Samme- 
lei auf angebliche Verbrecherrouten 
beschränkt werde, bleibe es bei dem 
Grundproblem, dass nach verdächtigen 
Mustern in an sich unverdächtigen Da- 
ten gesucht wird: „Das wird nach wie 
vor zu vielen Falschverdächtigungen 
führen“ (Krempl, EuGH: EU-Fluggast- 
datenspeicherung rechtens, nationale 
Umsetzung teils nicht, www.heise.de 
21.06.2022, Kurzlink: https://heise. 
de/-7146909; Janisch, Unverdächtig 
nach Mallorca, SZ 22.06.2022, 6). 


EuGH 


Kündigungsschutz für 
Datenschutzbeauftragte 
europarechtskonform 


Der Europäische Gerichtshof (EuGH) 
bestätigte mit seinem Urteil vom 
22.06.2022, dass die nationale Rege- 
lung des Bundesdatenschutzgesetzes 
zur Kündigung eines Mitarbeitenden 
mit der Funktion des Datenschutzbe- 
auftragten mit dem europäischen Recht 
in Einklang steht (Az. C-534/20). Es 
steht demnach jedem Mitgliedstaat frei, 
strengere Vorschriften für die arbeitge- 
berseitige Kündigung eines Datenkon- 
trolleurs vorzusehen, solange dieser 
seine Aufgaben im Einklang mit der DS- 
GVO erfüllt. 

Das BAG hatte dem EuGH diese Frage 
vorgelegt, nachdem einer „Teamleite- 
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rin Recht” bei einem Nürnberger Ma- 
schinenbauer noch in der Probezeit im 
Zusammenhang mit einer Umstruktu- 
rierung gekündigt und zugleich deren 
Benennung zur internen Datenschutz- 
beauftragten widerrufen wurde. Die 
Funktion wurde danach an eine externe 
Anwaltskanzlei übertragen. Das wollte 
die Frau nicht hinnehmen. Sie gewann 
beim ArbG und auch beim LAG Nürn- 
berg. Eine ordentliche Kündigung sei 
nach 8 38 Abs. 2 BDSGin Verbindung mit 
& 6 Abs. 6 Satz 2 BDSG ausgeschlossen, 
wenn kein wichtiger Grund vorliegt. 
Das BAG sah die Möglichkeit, dass das 
Unionsrecht abschließend sei, das in 
Art. 38 Abs. 3 Satz 2 DSGVO verbietet 
einen Datenschützer „wegen der Er- 
füllung seiner Aufgaben” abzuberufen 
oder zu benachteiligen. Überwiegend 
wurde schon bisher in Deutschland 
die Ansicht vertreten, beim deutschen 
Sonderkündigungsschutz handele es 
sich um materiell-arbeitsrechtliche 
Regelungen, für die keine Gesetzge- 
bungskompetenz der Union besteht 
(Art. 153 AEUV). Eine Gegenansicht 
meinte jedoch, dass die Verknüpfung 
dieses Schutzes mit der Stellung des 
Beauftragten unionsrechtswidrig sei. Es 
werde ein wirtschaftlicher Druck aufge- 
baut, an einem einmal benannten Kont- 
rolleur dauerhaft festzuhalten. 

Gemäß dem EuGH steht Art. 38 Abs. 3 
Satz 2 DSGVO nicht der Regelung ent- 
gegen, nach der einem bei einem Ver- 
antwortlichen oder einem Auftragsver- 
arbeiter beschäftigten Datenschutzbe- 
auftragten nur aus wichtigem Grund 
gekündigt werden kann, auch wenn die 
Kündigung nicht mit der Erfüllung sei- 
ner Aufgaben zusammenhängt. Mit der 
Norm solle im Wesentlichen die funktio- 
nelle Unabhängigkeit des Beauftragten 
gewahrt und damit die Wirksamkeit der 
Bestimmungen der DSGVO gewährleis- 
tet werden. Nicht bezweckt werde ins- 
gesamt das Arbeitsverhältnis zu regeln. 
Dieses sei allenfalls beiläufig betroffen, 
soweit dies für die Erreichung dieser Zie- 
le unbedingt erforderlich sei. Es stünde 
jedem Mitgliedstaat frei in Ausübung 
seiner vorbehaltenen Zuständigkeit be- 
sondere, strengere Vorschriften für die 
arbeitgeberseitige Kündigung eines Da- 
tenschutzbeauftragten vorzusehen, so- 
fern diese mit dem Unionsrecht und vor 
allem Art. 38 Abs. 3 Satz 2 DSGVO ver- 


einbar sind. Ein strengerer Schutz dürfe 
die Verwirklichung der Ziele der DSGVO 
nicht beeinträchtigen. Dies wäre der 
Fall, wenn dieser Schutz jedwede Kün- 
digung eines Datenschutzbeauftragten 
verböte, der nicht mehr die für die Er- 
füllung seiner Aufgaben erforderlichen 
beruflichen Eigenschaften besitze oder 
seine Aufgaben nicht im Einklang mit 
der DSGVO erfülle. 

Der Vorsitzende des Berufsverbands 
der Datenschutzbeauftragten Deutsch- 
lands (BvD) e.V., Thomas Spaeing, 
erklärte dazu: „Wir begrüßen diese 
höchstrichterliche Klarstellung, die 
Sicherheit für die Unternehmen und 
ihre Mitarbeitenden gibt. Davon pro- 
fitieren beide Seiten. Der benannte 
Datenschutzbeauftragte ist besonders 
wertvoll für das Unternehmen, wenn er 
unabhängig und zukunftsorientiert an 
innovativen Lösungen arbeiten kann.” 
Die Datenschutzbeauftragten fungier- 
ten in vielen kleinen und mittelstän- 
dischen Unternehmen als wesentliche 
Lotsen für die Digitalisierung der Pro- 
zesse und Dienstleistungen (Pressemit- 
teilung des BvD v. 29.06.2022, Urteil 
des EuGH stärkt die Rolle des internen 
Datenschutzbeauftragten und hilft den 
Unternehmen; Sonderkündigungs- 
schutz für Datenschutzbeauftragte mit 
Unionsrecht vereinbar, https://rsw. 
beck.de 23.06.2022). 


EuGH-Generalanwalt 


Auskunftsanspruch 
auch zu konkreten Daten- 
empfängern 


Betroffene, deren Daten zu Marke- 
tingzwecken weitergegeben wurden, 
können nach einem am 09.06.2022 
vorgelegten Gutachten des zuständigen 
Generalanwalts am Europäischen Ge- 
richtshof (EuGH), Giovanni Pitruzzella, 
Informationen über die konkreten Emp- 
fänger der Daten verlangen. Das Aus- 
kunftsrecht gemäß der Datenschutz- 
Grundverordnung (DSGVO) kann dem- 
gemäß nur in bestimmten Fällen auf die 
Kategorie von Empfängern beschränkt 
werden. 

Ein Kläger wollte von der österreichi- 
schen Post wissen, ob und an wen das 
Unternehmen personenbezogene Daten 
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über ihn weitergegeben hat. Die Post 
hatte bislang nur erklärt, dass sie Daten 
zu Marketingzwecken an Geschäftskun- 
den weitergegeben habe, aber keine 
konkreten Empfänger genannt. Der 
oberste Gerichtshof Österreichs setzte 
das Verfahren aus und bat den EuGH 
um eine Auslegung der DSGVO. Laut 
den Schlussanträgen von Pitruzzella 
müssen Betroffene grundsätzlich das 
Recht haben Informationen über die 
konkreten Empfänger zu bekommen, da 
nur so mögliche weitere Rechte wie die 
Löschung oder Berichtigung von Daten 
geltend machen können. Eine Ausnah- 
me sei nur möglich, wenn die Anträge 
auf Auskunft nachweisbar unbegründet 
oder exzessiv seien oder wenn es un- 
möglich sei die konkreten Empfänger 
herauszufinden. Dann könne sich das 
Auskunftsrecht auf die Empfängerkate- 
gorie beschränken. 

Die Richter am EuGH sind an das Gut- 
achten des Generalanwalts nicht gebun- 
den, orientieren sich aber in der Regel 
daran. Ein Termin für die Urteilsverkün- 
dung wurde noch nicht veröffentlicht 
(EuGH: Auskunftsrecht bei Datenwei- 
tergabe umfasst konkrete Empfänger, 
Digitalisierung & KI, Tagesspiegel Digi- 
talpolitik 10.06.2022). 


BVerfG 


Vorläufiger Rechtsschutz 
wegen BSI-Warnung vor 
Kaspersky abgelehnt 


Das Bundesamt für Sicherheit in der 
Informationstechnik (BSI) darf vor- 
erst gemäß einem Beschluss des Bun- 
desverfassungsgerichts (BVerfG) vom 
02.06.2022 weiter vor der Virenschutz- 
software des russischen Anbieters Kas- 
persky warnen (Az. 1 BvR 1071/22). Das 
Gericht nahm eine Klage der deutschen 
Tochtergesellschaft nicht zur Entschei- 
dung an. Damit hat sich der mit der Ver- 
fassungsbeschwerde verbundene Eilan- 
trag erledigt. Es sei „nicht unzumutbar 
eine Entscheidung in der Hauptsache vor 
den Verwaltungsgerichten abzuwarten”. 

Das BSI hatte am 15.03.2022 vor dem 
Hintergrund des russischen Angriffs- 
kriegs gegen die Ukraine empfohlen 
Virenschutzsoftware von Kaspersky 
durch alternative Produkte zu ersetzen. 
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Es bestehe ein erhebliches Risiko „ei- 
nes erfolgreichen IT-Angriffs”, an dem 
ein russischer Hersteller gegen seinen 
Willen als Werkzeug oder aktiv beteiligt 
sein könnte. Kaspersky hatte von einer 
Entscheidung aus politischen Gründen 
gesprochen und dagegen geklagt. Das 
Kölner Verwaltungsgericht lehnte ei- 
nen Eilantrag Anfang April ab (Az. 1L 
466/22), eine Beschwerde zum nord- 
rhein-westfälischen Oberverwaltungs- 
gericht blieb erfolglos (Az. 4B 473/22). 
Die Kammer des BVerfGs meinte, Kas- 
persky habe „nicht ausgeführt, dass 
die Verwaltungsgerichte gerade durch 
die Art und Weise der Bearbeitung des 
Antrags auf Erlass einer einstweili- 
gen Anordnung Grundrechte verletzt 
haben”. Erst die eingehende Prüfung 
der Sach- und Rechtslage versetze das 
Bundesverfassungsgericht in die Lage 
die grundrechtsrelevanten Fragen ent- 
scheiden zu können. Die tatsächlichen 
Umstände der Sicherheit der Software 
müssten zunächst von den zuständigen 
Fachgerichten aufgeklärt werden (Kla- 
ge abgelehnt: BSI darf vorerst weiter vor 
Kaspersky-Virenschutz warnen, www. 
heise.de 10.06.2022, Kurzlink: https:// 
heise.de/-7136938). 


BVerfG 


Keine Datenhehlerei bei 
journalistischer Recherche 


Das Bundesverfassungsgericht (BVerfG) 
hat in einem Beschluss klargestellt, 
dass sich Journalistinnen und Journa- 
listen nicht strafbar machen, wenn sie 
„geleakte” Daten entgegennehmen. Das 
Gericht nahm formal die von der Gesell- 
schaft für Freiheitsrechte (GFF) koordi- 
nierte Verfassungsbeschwerde gegen 
den Straftatbestand der Datenhehlerei 
in 8 202d Strafgesetzbuch (StGB) nicht 
zur Entscheidung an. In der Begrün- 
dung legt es die Ausnahme von der 
Strafbarkeit für Journalistinnen und 
Journalisten weit aus und stärkt damit 
die Pressefreiheit. 

Die GFF hatte die Klage 2017 im Na- 
men von netzpolitik.org, Reporter ohne 
Grenzen sowie sieben Journalisten und 
Bloggern erhoben, die selbst regelmä- 
Rig investigativ und mithilfe geleakter 
Daten recherchieren. Dazu gehören un- 


ter anderem Markus Beckedahl, Andre 
Meister (netzpolitik.org), Peter Hor- 
nung (NDR, Panama Papers) und Hajo 
Seppelt (ARD, Olympia-Doping). Auch 
Redakteure von c’t und heise online 
wirkten mit. 

David Werdermann, Rechtsanwalt und 
Projektkoordinator der GFF, erläuterte: 
„Das Bundesverfassungsgericht hat mit 
seiner Entscheidung klargestellt, dass 
sich Journalist*innen nicht strafbar 
machen, wenn sie Daten von Whist- 
leblowerinnen und Whistleblowern 
entgegennehmen. Unsere Verfassungs- 
beschwerde hat damit ihr Hauptziel er- 
reicht, auch wenn sie formal nicht zur 
Entscheidung angenommen wurde: Die 
Gefahr der Strafverfolgung journalisti- 
scher Kerntätigkeiten und der Durch- 
suchung von Redaktionsräumen ist ent- 
schärft.” 

Der 2015 eingeführte Datenhehlerei- 
Paragraf (8 202d StGB) stellt den Um- 
gang mit Daten unter Strafe, die zuvor 
jemand rechtswidrig erlangt hat. Die 
Norm sollte nach Absicht des Gesetzge- 
bers vorrangig den Handel mit gestoh- 
lenen Kreditkarten- oder Nutzerdaten 
bekämpfen. Aufgrund der ungenauen 
Formulierung des Gesetzes erfasst sie 
darüber hinaus aber auch das Sich-Ver- 
schaffen, die Überlassung und Verbrei- 
tung elektronisch gespeicherter Daten, 
die von Whistleblowerinnen und Whist- 
leblowern weitergegeben wurden. Auch 
aufgrund massiver Kritik von Presse- 
Verbänden beschloss der Bundestag 
eine Ausnahme für Journalistinnen 
und Journalisten: Er beschränkte diese 
jedoch auf berufliche Handlungen, mit 
denen Daten entgegengenommen, aus- 
gewertet oder veröffentlicht werden. 
Gemäß BVerfG drängt sich damit aber 
auf, „dass ein umfassender Ausschluss 
journalistischer Tätigkeiten bezweckt 
wird”. Der Tatbestandsausschluss zie- 
le darauf ab, dass eine journalistische 
Tätigkeit auch dann nicht unter Strafe 
gestellt wird, wenn Recherchen gege- 
benenfalls unergiebig sind und es im Er- 
gebnis nicht zu einer Veröffentlichung 
kommt. 

Die Verfassungsbeschwerden dreier 
weiterer Beschwerdeführer wurden vom 
Verfahren abgetrennt und sind noch 
beim Zweiten Senat des Bundesverfas- 
sungsgerichts anhängig. Dazu gehören 
der GFF-Vorsitzende Dr. Ulf Buermeyer 
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sowie ein Anwalt und ein IT-Experte, 
die jeweils regelmäßig investigativ ar- 
beitende Medien beraten. Von der aus- 
stehenden Entscheidung erhofft sich 
die GFF eine Klarstellung, dass auch 
journalistischen Hilfspersonen keine 
Strafverfolgung droht (Knaack, Pres- 
sefreiheit: Bundesverfassungsgericht 
entschärft Datenhehlerei-Paragraf, 
www.heise.de 16.06.2022, Kurzlink: 
https://heise.de/-7142362; Erfolg für 
die Pressefreiheit: Bundesverfassungs- 
gericht entschärft Datenhehlerei-Para- 
graf, freiheitsrechte.org 16.06.2022). 


BGH 


Keine E-Mail-Inbox- 
Werbung ohne wirksame 
Einwilligung 


Gemäß einem Urteil des Bundes- 
gerichtshofs (BGH) vom 13.01.2022 
dürfen webbasierte E-Mail-Dienste wie 
T-Online, GMX, web.de oder Gmail Nut- 
zern kostenloser Basisvarianten nicht 
einfach Werbenachrichten direkt in der 
Inbox anzeigen (Az. IZR 25/19). Diese 
umstrittene Praxis erfordert eine expli- 
zite, informierte Einwilligung im Sinne 
der Datenschutz-Grundverordnung (DS- 
VGO). In dem rechtskräftig entschiede- 
nen Fall beanstandeten die Städtischen 
Werke Lauf a.d. Pegnitz (StWL) vor 
deutschen Gerichten eine einschlägige 
Werbemaßnahme des konkurrierenden 
Stromlieferanten Eprimo aus der Eon- 
Gruppe. Dieser hatte eine Werbeagentur 
beauftragt, mit dem Hinweis „Anzei- 
ge” versehene Werbeeinblendungen in 
E-Mail-Postfächern von Nutzern des 
kostenlosen E-Mail-Dienstes T-Online 
zu schalten. Vergleichbare Inbox-Wer- 
bung ist bei vielen Anbietern üblich. 

Nach Ansicht der Stadtwerke verstößt 
diese Maßnahme gegen das Gesetz ge- 
gen den unlauteren Wettbewerb (UWG). 
Die beanstandete Werbetechnik unter- 
scheidet sich zwar vom technischen 
Modell der E-Mail, ist aber aus dem Ho- 
rizont des Empfängers der unerwünsch- 
ten E-Mail (Spam) zum Verwechseln 
ähnlich. Die SEWL nahmen Eprimo daher 
vor dem Landgericht Nürnberg-Fürth 
auf Unterlassung in Anspruch. Dieses 
gab der Klage statt und verurteilte Epri- 
mo eine solche Werbung zu unterlassen, 


DANA ® Datenschutz Nachrichten 3/2022 


da diese eine unzumutbare Belästigung 
darstelle und irreführend sei. 

Im Berufungsverfahren hatte das 
Oberlandesgericht Nürnberg der Be- 
klagten Recht gegeben. Der BGH, bei 
dem der Streit in der Revision landete, 
legte dem Europäischen Gerichtshof 
(EuGH) daraufhin Fragen zur Inter- 
pretation des EU-Rechts vor. Dieser 
entschied im November 2021, dass die 
E-Privacy-Richtlinie darauf abzielt Teil- 
nehmer gegen die Verletzung ihrer Pri- 
vatsphäre durch unerbetene Nachrich- 
ten für Zwecke der Direktwerbung zu 
schützen. Ein ohne Zwang erfolgendes 
Opt-in sei daher nötig. Inbox-Werbung 
behindere den Zugang zu den eigentli- 
chen E-Mails, ähnlich wie Spam. 

Der BGH wies die Berufung von Eprimo 
gegen das Urteil des Landgerichts dar- 
aufhin zurück. Er legte die Kosten der 
Rechtsmittel der Beklagten auf. Diese 
muss zudem die Abmahnkosten in Höhe 
von 1.531,90 Euro nebst Zinsen zahlen. 
Eine erneute Verhandlung des Streits 
vor dem Oberlandesgericht hielten die 
Karlsruher Richter nicht für nötig. 

Eine wirksame Einwilligung in eine 
Inbox-Werbung liegt laut dem BGH- 
Urteil nicht vor, wenn der Nutzer eines 
kostenlosen E-Mail-Dienstes „sich all- 
gemein damit einverstanden erklärt 
Werbeeinblendungen zu erhalten”, um 
kein Entgelt zahlen zu müssen. Erfor- 
derlich sei vielmehr, dass der Betroffene 
vor einer Zustimmung „klar und präzise 
über die genauen Modalitäten der Ver- 
breitung einer solchen Werbung und 
insbesondere darüber informiert wird, 
dass Werbenachrichten in der Liste der 
empfangenen privaten E-Mails ange- 
zeigt werden“. 

Der von den Stadtwerken geltend ge- 
machte Unterlassungsanspruch könne 
gemäß & 7 UWG, der eine einschlä- 
gige Klausel der E-Privacy-Richtlinie 
umsetzt, nicht verneint werden. Die 
allgemeinen Voraussetzungen dafür 
lägen unter dem Gesichtspunkt der un- 
zumutbaren Belästigung vor. Es handle 
sich um eine unzulässige geschäftliche 
Handlung. 

Im vorliegenden Fall wurde die Wer- 
benachricht den Karlsruher Richtern 
zufolge aus der Sicht des Adressaten in 
der Inbox des E-Mail-Systems - also in 
einem normalerweise privaten Nach- 
richten vorbehaltenen Bereich - ange- 


zeigt. Der Nutzer konnte diesen Sektor 
erst nach Überprüfung des Inhalts der 
Reklame und nur durch aktives Löschen 
derselben freimachen, um einen Über- 
blick über seine ausschließlich privaten 
E-Mails zu erhalten. Die Einblendung 
habe so den Zugang zur eigentlichen 
E-Post in ähnlicher Weise behindert wie 
bei unerbetenen E-Mails (Spam). Dies 
sei nur mit dem vorherigen ausdrückli- 
chen Plazet der Teilnehmer gestattet. 
Laut der relevanten DSGVO bezeichne 
der Ausdruck „Einwilligung“ jede frei- 
willig für den bestimmten Fall, in infor- 
mierter Weise und unmissverständlich 
abgegebene Willensbekundung in Form 
einer Erklärung oder einer sonstigen 
eindeutigen bestätigenden Handlung. 
Der Nutzer müsse sein Opt-in „für den 
konkreten Fallund in voller Kenntnis der 
Sachlage bekundet” haben. Einschlägi- 
ge E-Mail-Anbieter wie GMX und web.de 
passten ihre Einwilligungserklärungen 
unmittelbar nach der Veröffentlichung 
des Urteils an. So findet sich darin nun 
auch eine Klausel für Inbox-Werbung. 
Alternativ besteht die Möglichkeit die 
Gratisvarianten der Dienste mit perso- 
nalisierten klassischen Banneranzeigen 
weiter zu verwenden (Bundesgerichts- 
hof: Unerwünschte Inbox-Werbung ist 
genauso rechtswidrig wie Spam, www. 
heise.de 04.06.2022, Kurzlink: https:// 
heise.de/-7132364). 


OVG Münster 


Postanschrift für IFG- 
Antrag nicht immer erfor- 
derlich 


Das Bundesministerium des Innern 
und für Heimat (BMI) darf gemäß einem 
Urteil des Oberverwaltungsgerichts 
(OVG) NRW vom 15.06.2022 nicht stan- 
dardmäßig die Angabe der Postanschrift 
des Antragstellers verlangen, der über 
die Internetplattform fragdenstaat.de 
einen Antrag auf Informationszugang 
nach dem Informationsfreiheitsgesetz 
(IFG) stellt (16 A 857/21). Das OVG 
änderte damit eine vorangegangene 
Entscheidung des Verwaltungsgerichts 
(VG) Köln ab (13 K 1190/20). 

Ein Bürger hatte mittels einer von 
der Internetplattform fragdenstaat. 
de generierten, nicht personalisierten 
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E-Mail-Adresse beim BMI einen Aus- 
kunftsantrag nach dem IFG gestellt. 
Das Ministerium forderte ihn dazu auf 
seine Postanschrift mitzuteilen, da an- 
dernfalls der verfahrensbeendende Ver- 
waltungsakt nicht bekanntgegeben und 
das Verfahren nicht ordnungsgemäß 
durchgeführt werden könne. Aufgrund 
dessen sprach der Bundesbeauftragte 
für den Datenschutz und die Informa- 
tionsfreiheit (BfDI) eine datenschutz- 
rechtliche Verwarnung gegenüber dem 
BMI aus. Das Verwaltungsgericht Köln 
gab der dagegen gerichteten Klage des 
BMI statt und hob die Verwarnung auf. 
Die Berufung des BfDI hatte Erfolg. 

Das OVG begründete seine Entschei- 
dung damit, dass die Erhebung der 
Postanschrift im Zeitpunkt der Daten- 
verarbeitung für dievom BMI verfolgten 
Zwecke nicht erforderlich war. Weder 
aus den maßgeblichen Vorschriften 
des IFG noch aus den Grundsätzen des 
Allgemeinen Verwaltungsrechts geht 
hervor, dass ein Antrag nach dem IFG 
stets die Angabe einer Postanschrift er- 
fordert. Anhaltspunkte dafür, dass eine 
Datenerhebung im vorliegenden Einzel- 
fall erforderlich war, liegen ebenfalls 
nicht vor. Wegen der grundsätzlichen 
Bedeutung wurde die Revision zum 
Bundesverwaltungsgericht zugelassen. 

In einem weiteren, auf einem ver- 
gleichbaren Sachverhalt beruhenden 
Verfahren hatten der BfDI und die bei- 
geladene Open Knowledge Foundation, 
die die Internetplattform fragdenstaat. 
de betreibt, mit ihren Berufungen hin- 
gegen keinen Erfolg. Der BfDI hatte dem 
BMI die datenschutzrechtliche Anwei- 
sung erteilt in Verfahren nach dem IFG 
über die vom Antragsteller übermittel- 
ten Kontaktdaten hinaus nur noch dann 
zusätzliche personenbezogene Daten zu 
verarbeiten, wenn ein Antrag ganz oder 
teilweise abzulehnen sein wird oder 
wenn Gebühren zu erheben sind. Wie 
schon das VG Köln (13 K 1189/20) hielt 
auch das OVG in seinem Urteil diese An- 
weisung für rechtswidrig, da der streit- 
gegenständliche Bescheid jedenfalls 
einen zu weitreichenden Regelungsge- 
halt habe. Dieser verbietet eine Daten- 
verarbeitung auch für die Fälle, in de- 
nen sie ausnahmsweise gerechtfertigt 
sein könnte. In diesem Verfahren hat 
das OVG die Revision nicht zugelassen 
(Standardmäßige Erhebung der Post- 
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anschrift des Antragstellers bei IFG-An- 
trag über fragdenstaat.de unzulässig, 
www.ovg.nrw.de 15.06.2022). 


LAG Baden-Württemberg 


Korrekte BEM-Information 
Voraussetzung für krank- 
heitsbedingte Kündigung 


(tw) Das Landesarbeitsgericht Baden- 
Württemberg (LAG) hat mit rechts- 
kräftigem Urteil vom 20.10.2021 eine 
krankheitsbegründete Kündigung auf- 
gehoben, weil die eingeforderte Ein- 
willigungserklärung zur Verarbeitung 
von Gesundheitsdaten im sog. BEM-Ver- 
fahren nicht datenschutzkonform war 
(Az. 4 Sa 70/20). Das Gericht bestätig- 
te und präzisierte damit ein Urteil vom 
28.07.2021 (Az. 4 Sa 68/20). 

Der Arbeitgeber hatte einem Beschäf- 
tigten krankheitsbedingt im Juni 2020 
gekündigt, nachdem dieser in den Jah- 
ren 2016 bis 2019 jeweils mehr als 30 
Arbeitstage (6 Wochen) arbeitsunfähig 
geschrieben war, sich auch im Januar 
2020 krankgemeldet hatte und der Ar- 
beitgeber hierfür jeweils Entgeltfortzah- 
lung leisten musste. Zuvor hatte der Ar- 
beitgeber den Beschäftigten erneut zum 
betrieblichen Eingliederungsmanage- 
ment (BEM) eingeladen und von diesem 
keine Rückmeldung erhalten. In dieser 
Einladung war darauf hingewiesen wor- 
den, dass der Beschäftigte der Verar- 
beitung seiner Gesundheitsdaten durch 
den Vorgesetzten sowie durch ein Inte- 
grationsteam, dem der Leiter des örtli- 
chen Standortes angehöre, im Rahmen 
des BEM-Verfahrens zustimmen müsse. 
Das Arbeitsgericht Reutlingen hatte den 
Arbeitgeber zur Weiterbeschäftigung 
verurteilt, weil die berücksichtigungs- 
fähige Überschreitung des Sechswo- 
chenzeitraums der Arbeitsunfähigkeit 
pro Kalenderjahr nicht so gravierend 
sei, dass die weitere Beschäftigung un- 
zumutbar ist. Das Landesarbeitsgericht 
(LAG) bestätigte die Rechtswidrigkeit 
der Kündigung, allerdings mit einer völ- 
lig anderen Begründung: 

Eine mit Krankheitsausfall begrün- 
dete ordentliche Kündigung setzt eine 
negative Gesundheitsprognose voraus, 
also objektive Tatsachen, die - auch bei 
Kurzerkrankungen - eine weitere nega- 


tive Entwicklung erwarten lassen. Die 
prognostizierten Fehlzeiten müssen zu 
einer Beeinträchtigung betrieblicher 
Interessen führen, was mit der Entgelt- 
fortzahlung begründet werden kann. 
Gemäß dem LAG muss im Rahmen einer 
Interessenabwägung diese Beeinträch- 
tigung für den Arbeitgeber so schwer 
sein, dass sie nicht hinnehmbar ist. 
Zwar waren im konkreten Fall frühere 
Fehlzeiten auf zwei Krankheiten zu- 
rückzuführen, die letztlich vollständig 
ausgeheilt waren. Diese durften nicht 
mehr mitgerechnet werden. Doch auch 
unter Abzug dieser Fehlzeiten lagen die 
Fehlzeiten in den letzten 4 Jahren je- 
weils noch über 30 Tagen, ohne abneh- 
mende Tendenz. Dies sei für den Arbeit- 
geber nicht weiter zumutbar. 

Obwohl damit die Voraussetzungen 
für eine krankheitsbedingte Kündigung 
im Prinzip vorlagen, erklärte das LAG 
die Kündigung für nicht sozial gerecht- 
fertigt, weil das BEM-Verfahren nicht 
ordnungsgemäß eingeleitet worden war. 
Die Durchführung des BEM-Verfahrens 
ist keine formelle Wirksamkeitsvoraus- 
setzung für eine Kündigung. Es ist aber 
bei der Verhältnismäßigkeitsprüfung re- 
levant. Mit Hilfe des BEM können mildere 
Mittel als eine Kündigung gefunden wer- 
den. Kann der Arbeitgeber nachweisen, 
dass das BEM z.B. durch eine leidens- 
gerechte Anpassung des Arbeitsplatzes 
oder eine geänderte Tätigkeit an den 
Fehlzeiten nichts Wesentliches ändern 
würde, dann kann das Unterbleiben des 
BEM für ihn nicht zum Nachteil gewertet 
werden. Ist aber nicht auszuschließen, 
dass nach Durchführung des BEM eine 
Weiterbeschäftigung möglich wäre, dann 
muss dem Beschäftigten ein ordnungs- 
gemäßes BEM angeboten werden, da das 
Ziel des BEM ist festzustellen, aufgrund 
welcher gesundheitlicher Einschrän- 
kungen die bisherigen Ausfallzeiten 
entstanden sind und mit welchen Verän- 
derungen die krankheitsbedingten Fehl- 
zeiten für den Arbeitgeber hinnehmbar 
reduziert werden können. 

Zentrale Voraussetzung eines ord- 
nungsgemäßen BEM ist, dass angesichts 
der zu erhebenden sensitiven Daten der 
Betroffene über diese Daten sowie über 
deren erforderliche Kenntnisnahme und 
weitere Verarbeitung durch die einge- 
bundenen Stellen und Personen korrekt 
hingewiesen wird. Nur so kann er infor- 
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miert in diese Verarbeitung einwilligen. 
Diese Einwilligung ist Voraussetzung für 
die zulässige BEM-Datenverarbeitung. 
Dem Arbeitnehmer muss also mitgeteilt 
werden, welche Krankheitsdaten erho- 
ben und gespeichert und inwieweit und 
für welche Zwecke sie dem Arbeitgeber 
zugänglich gemacht werden. 

Im konkreten Verfahren konnte nicht 
festgestellt werden, ob das Einladungs- 
schreiben dem Beschäftigten zugestellt 
worden war. Darauf kam es dem LAG 
aber gar nicht an, da selbst bei korrekter 
Zustellung keine ordnungsgemäße Un- 
terrichtung stattgefunden hätte: In der 
Unterrichtung war aufgeführt, dass die 
sensitiven Daten auch gegenüber dem 
„Vorgesetzten“ und der „Standortlei- 
tung“ bekannt gemacht würden. Zumin- 
dest der Standortleitung hätten aber die 
Daten, z.B. die Diagnosen, in keinem Fall 
mitgeteilt werden müssen und dürfen. 
Durch die Einbeziehung der Standortlei- 
tung in den potenziellen Empfängerkreis 
der Daten hätte der Betroffene berech- 
tigterweise seine Zustimmung zum BEM 
verweigern können, da diese nicht erfor- 
derlich war. 

Obwohl der gekündigte Beschäftigte 
die Fehlerhaftigkeit der BEM-Einladung 
im Verfahren nicht gerügt hatte, begrün- 
dete das LAG damit die Unzulässigkeit 
der Kündigung: „Es kann vorliegend 
nicht ausgeschlossen werden, dass bei 
einer ordnungsgemäßen Unterrichtung 
über das BEM der Kläger an einem sol- 
chen teilgenommen hätte und im Rah- 
men des Verfahrens Möglichkeiten ge- 
funden worden wären die Fehlzeiten des 
Klägers zu reduzieren”. 

Durch eine Betriebsvereinbarung kön- 
nen die Rahmenbedingungen des BEM 
präziser als im Gesetz festgelegt werden. 
Dadurch wird für den Arbeitgeber wie für 
den Beschäftigten mehr Rechtssicher- 
heit geschaffen. Das Verfahren muss so 
gestaltet sein, dass nur Daten erhoben, 
verarbeitet und an Dritte weitergeleitet 
werden, die für das Gelingen des BEM 
erforderlich sind. Davon kann man bei 
Vorgesetzten grundsätzlich nicht ausge- 
hen. Der Betroffene muss der gesamten 
Durchführung des BEM zustimmen und 
damit auch seine Einwilligung in die sen- 
sitive Datenverarbeitung geben. Diese 
Einwilligung ist nur begrenzt freiwillig; 
Eine Verweigerung der Einwilligung in 
eine erforderliche Datennutzung kann 
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zum Scheitern des BEM führen, was evtl. 
letztlich bei einer Kündigung gegen den 
Betroffenen verwendet wird. 


VG Ansbach 


Keine pauschale Videoüber- 
wachung im Fitnessstudio 


Das Verwaltungsgericht (VG) Ansbach 
hat mit Urteil vom 23.02.2022 entschie- 
den, dass eine Videoüberwachung in Fit- 
nessstudios nur unter ganz bestimmten 
Umständen und Voraussetzungen zuläs- 
sigist (Az. AN 14 K 20.00083). Die Betrei- 
berin eines Fitnessstudios hatte sechs 
Videokameras ohne Tonaufzeichnung 
installiert, um verschiedene Bereiche 
des Studios abzudecken. Das zuständige 
Bayerische Landesamt für Datenschutz- 
aufsicht (BayLDA) betrachtete dies als 
unzulässig und forderte sie auf die Vi- 
deoüberwachung einzustellen. 

Das VG sah in diesem Fall keine daten- 
schutzrechtlich konforme Einwilligung. 
Die Tatsache, dass an gewissen Stellen 
auf die Videoüberwachung hingewiesen 
würde, begründe keine konkludente 
Einwilligung der Trainierenden. Dafür 
fehle es an einer eindeutigen Handlung 
seitens der Betroffenen. Gerade Still- 
schweigen und Untätigkeit könnten 
keine Einwilligung darstellen. 

Auch eine vertragliche Legitimation 
akzeptierte das VG nicht (Art. 6 Abs. 1 
lit. b DSGVO). Als Fitnessstudiobetreiber 
habe man durchaus dafür Sorge zu tra- 
gen, dass die Kundschaft in gewissem 
Umfang vor Diebstählen und Übergrif- 
fen geschützt ist. Dies begründe eine 
sogenannte vertragliche Nebenpflicht 


(Rücksichtnahme- und Schutzpflich- 
ten) aus dem Fitnessstudiovertrag. Eine 
umfassende und weitgehende Video- 
überwachung sei damit jedoch nicht 
zu begründen. Der Studiobetreiber sei 
grundsätzlich nur dazu verpflichtet für 
ein Schutzniveau zu sorgen, mit wel- 
chem der durchschnittliche Besucher 
rechnen könne, also z.B. dem Aufstel- 
len von absperrbaren Spinden. Mit einer 
lückenlosen Videoüberwachung könne 
ein Trainierender jedoch keineswegs 
rechnen. 

Die Besitzerin des Fitnessstudios ver- 
sucht die Erfassung gemäß Art. 6 Abs. 1 
lit. fDSGVO damit zu rechtfertigen, dass 
dies der Prävention und Aufklärung von 
Diebstählen und Sachbeschädigungen 
diene, welche es zuvor vermehrt gege- 
ben hätte. Außerdem hätten mildere 
Mittel wie Warnschilder keinen Erfolg 
gehabt. Darüber hinaus könne man 
dadurch weibliche Trainierende vor se- 
xuellen Übergriffen schützen, denn es 
könne nicht zu jeder Zeit in jedem Teil 
des Studios Personal sein. Angesichts 
des tiefen Eingriffs in Rechte der Betrof- 
fenen verlangt das VG für die Wahrneh- 
mung eines berechtigen Interesses eine 
Verhältnismäßigkeit der Maßnahme. 
Diese muss einen legitimen Zweck ver- 
folgen und überdies geeignet, erforder- 
lich und angemessen sein. Ansonsten 
ist diese datenschutzwidrig. Eine um- 
fassende lückenlose Videoüberwachung 
seiin der Regel unzulässig; die Überwa- 
chung sei auf die besonders gefährde- 
ten Bereiche zu begrenzen (Wehowsky, 
VG Ansbach: Keine pauschale Video- 
überwachung in Fitnessstudios, www. 
iitr.de 30.06.2022). 


sind herzlich willkommen! 


E Leserbriefe zu den Themen der Datenschutz Nachrichten 


»” 


Bild: iStock.com/ golubovy 
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Praxishandbuch 


Künstliche Intelligenz 


Schröder, Lothar/Höfers, Petra 
Praxishandbuch Künstliche Intelligenz 
Handlungsanleitungen, Praxistipps, 
Prüffragen, Checklisten 

Bund-Verlag, 2022, 

ISBN 978-3-7663-7264-2 

452 5.,48 € 


(tw) Mit dem Betriebsrätemodernisie- 
rungsgesetz fand der Begriff „Künstli- 
che Intelligenz”, abgekürzt „KI”, 2021 
Eingang ins Betriebsverfassungsgesetz: 
Beim Einsatz von KI hat der Betriebsrat 
Anspruch auf Hinzuziehung von Sach- 
verstand. Wird KI in Bewerbungsver- 
fahren verwendet, dann besteht eine 
Mitbestimmungspflicht. Schon erheb- 
lich früher hat das, was landläufig unter 
Kl verstanden wird, in vielen Betrieben 
Einzug gehalten. Sie beeinflusst den 
betrieblichen Alltag massiv - im po- 
sitiven wie im negativen Sinne. Dabei 
geht es um erhöhte Produktivität, um 
die Entlastung von Mitarbeitern und 
die Qualifizierung von Jobs. Und es geht 
um Gefahren für den Datenschutz, die 
Verhinderung von maschinellen Ver- 
haltens- und Leistungskontrollen, aber 
auch um die Vermeidung von Diskrimi- 
nierung, um Arbeitsbedingungen und 
Arbeitsschutz. 

Insofern ist das Buch von Schröder/ 
Höfers überfällig. Aber es kommt nicht 
zu spät, ja vielleicht gerade zum rich- 
tigen Zeitpunkt, wo die KI eben ins 
BetrVG Eingang gefunden hat und von 
der EU-Kommission der Entwurf für eine 
KI-Verordnung vorgelegt wurde. Beides 
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ist hier umfassend berücksichtigt. Es 
bestehen erste anwendbare rechtliche 
Grundlagen; es gibt eine umfassende 
Diskussion über KI im Beschäftigungs- 
verhältnis und es gibt Konzepte im Um- 
gang hiermit. All das ist von großer Re- 
levanz für Betriebs- und Personalräte. 

Und all das finden wir in dem Werk von 
Schröder und Höfers, das durch Gastbei- 
träge von Cristian Benner, Karl-Heinz 
Brandl, Frank Bsirske, Reiner Hoffmann, 
Markus Hoppe und Christoph Schmitz 
bereichert wird. Es nennt sich tiefsta- 
pelnd „Praxishandbuch“ und ist doch 
erheblich mehr. Natürlich adressiert es 
vorrangig Betriebs- und Personalräte - 
und dies in einer leicht verständlichen 
und lebendigen Sprache, zugleich mit 
viel Detailwissen. Es adressiert aber 
auch Personalleiter, Unternehmens- 
leiter, IT-Spezialisten, Juristen und ist 
selbst für die wissenschaftliche Arbeit 
zum Thema eine hervorragende Grund- 
lage. Dies liegt daran, dass das Thema 
generell umfassend behandelt wird, um 
sich dann auf den betrieblichen Einsatz 
zu fokussieren. Dies liegt auch daran, 
dass wissenschaftliche, politische und 
juristische Quellen umfassend ausge- 
wertet und dokumentiert werden. 

Dabei bleibt aber immer der prakti- 
sche Ansatz im Blick. Dies beginnt mit 
der Dokumentation der einschlägigen 
Rechtsquellen und Dokumente, setzt 
sich fort in vielen Checklisten und 
Ratschlägen und gibt den Beschäftig- 
tenvertretungen ausführliche Fragen- 
kataloge an die Hand, mit denen sie KI 
hinterfragen und bewerten können. Das 
Buch vermittelt Qualitätsfaktoren und 
Gestaltungsbeispiele und beschreibt 
dabei die technischen, ethischen und 
sozialen Zusammenhänge. Ein KI-La- 
gom-Ansatz zur Qualitätsprüfung von KI 
wird vorgestellt ebenso wie ein Beschäf- 
tigtendatenschutz-Index (BeDaX), mit 
dem eine datenschutzrechtliche Bewer- 
tung im Arbeitsverhältnis mit Hilfe von 
detaillierten Indikatoren angestrebt 
wird. Dabei wird aber nie eine verengte 
Sichtweise präsentiert, sondern immer 
eine umfassende Darstellung, die von 


Buchbesprechungen 


den Grundrechten und ethischen Anfor- 
derungen bis hin zu konkreten Ausge- 
staltungen von Software und Verfahren 
führt. Kurzum: Das Buch ist ein absolu- 
tes Muss für Menschen, die sich profes- 
sionell mit KI im Betrieb befassen, und 
allen dringend zu empfehlen, die damit 
in Berührung kommen. Ein detailliertes 
Inhaltsverzeichnis erschließt die Inhal- 
te bei spontanen Fragestellungen; ein 
aktuelles Literaturverzeichnis gibt Hin- 
weise für weitere Recherchen. 


Wolff/ Brink 


Datenschutz- 
recht 


DREVO BG 


Kmemriar 
2 vu 


CHEKK 


Wolff, Heinrich Amadeus/ 

Brink, Stefan (Hrsg.) 
Datenschutzrecht 

DS-GVO, BDSG, Grundlagen, Bereichs- 
spezifischer Datenschutz, Kommentar 
2. Aufl. 2022, C.H.Beck München 
ISBN 978 3 406 78990 8, 1763., 
169,00 € 


(tw) Der Beck-Verlag ist in Sachen 
Literatur zum Datenschutz Marktfüh- 
rer. U.a. mit Paal/Pauly, Gola, Ehmann/ 
Selmayr und Kühling/Buchner liefert er 
für jeden Geschmack und in jedem Um- 
fang etwas zu DSGVO & Co. Nun bringt 
er mit dem Wolff/Brink ein weiteres ge- 
drucktes Werk auf den Markt. Die erste 
Auflage hatte noch den Titel „Daten- 
schutzrecht in Bund und Ländern” und 
war schon 2013 voluminös. Jetzt steht 
die DSGVO im Vordergrund, das Lan- 
desdatenschutzrecht spielt praktisch 
keine Rolle mehr. Der Umstand, dass 
der „Wolff/Brink“ erst nach 9 Jahren 
eine gedruckte Neuauflage findet, hat 
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den einfachen Hintergrund: Das Werk 
war über die ganzen Jahre als Online- 
Kommentar im Internet abrufbar. Der 
Verlag willnun auch die weniger digital 
arbeitenden Datenschutzjuristen bedie- 
nen, von denen es offenbar immer noch 
genug gibt. 

Das Konzept ist geblieben. Gestartet 
wird mit ca. 230 Seiten „Grundlagen 
und bereichsspezifischer Datenschutz”; 
es folgen 880 Seiten DSGVO; dem BDSG 
werden ca. 610 Seiten gewidmet. Die 
Beiträge sind weitestgehend auf dem 
aktuellen Stand in Bezug auf Gesetz- 
gebung, Rechtsprechung und Spruch- 
praxis der Aufsichtsbehörden. Das neue 
TTDSG ist zwar berücksichtigt, aber 
nicht kommentiert. Einige bereichsspe- 
zifische Darstellungen, die noch 2013 
abgedeckt waren, bleiben „unbesetzt“: 
Geliefert werden Prinzipien, Völkerrecht 
und supranationale Grundlagen, Justiz, 
freie Berufe, Medien und Telekommuni- 
kation, Finanzwesen und Sicherheits- 
behörden. Unbesetzt bleiben u.a. das 
Landesrecht, die Werbung, Versicherun- 
gen und der Sozialdatenschutz. Daten- 
schutz ist offenbar zu komplex und zu 
umfangreich, um insgesamt zwischen 
zwei Buchdeckel zu passen. 

Bei der Rezension eines derart dicken 
Werks ist ein Eingehen auf spezifische 
Inhalte kaum möglich. Wohl kann aber 
gesagt werden, dass alle behandelten 
Themen nicht nur aktuell, sondern auch 
hochkompetent und hinsichtlich der 
Quellen sehr vollständig behandelt wer- 
den. Das hat seinen Grund auch darin, 
dass sich die Autorenliste wie das „who 
is who” des rechtlichen Datenschutzes 
liest. Dabei fällt auf, dass Autoren, ja 
selbst Herausgeber von anderen Daten- 
schutz-Kommentaren und -Handbü- 
chern auch hier zu Wort kommen: An- 
wälte, Aufsichtsbehörden-Beschäftigte, 
Professoren, Unternehmensjuristen, 
wissenschaftliche Assistenten, Richter. 
D.h. nicht nur die Blickrichtung, auch 
die Positionen zum Datenschutz sind 
stark davon abhängig, wer das Thema 
bearbeitet. Wolff war bisher Rechtspro- 
fessor und wurde eben Richter am Bun- 
desverfassungsgericht. Brink hat sich 
als Datenschutzbeauftragter von Ba- 
den-Württemberg profiliert, will aber in 
Kürze wechseln (s.o. S. 184). 

Das Werk verfolgt das Ziel auf prakti- 
sche Rechtsfragen Antworten zu geben. 
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Meinungsverschiedenheiten werden an- 
gesprochen. Durch die umfassende Re- 
zeption von Literatur ist das Werk auch 
wissenschaftlich nutzbar, wenn auch 
die Tiefe des Simitis/Hornung/Spie- 
cker (DANA 1/2019, 54) zumeist nicht 
erreicht wird. Das Datenschutzrecht ist 
eine äußerst lebendige Rechtsmaterie; 
hier wird einem ein aktueller Diskus- 
sionsstand geboten. Keine Gewähr be- 
steht, dass dabei dann immer eine bür- 
gerrechtsorientierte Sicht präsentiert 
wird. So bietet das Werk einen guten 
Überblick über die üppige und stark re- 
dundante Datenschutzliteratur. 


Was heißt 
hier eigentlich 


Verfassungsschutz? 


Kerth, Cornelia/Kutscha, Martin (Hrsg.) 
Was heißt hier eigentlich Verfas- 
sungsschutz? 

Ein Geheimdienst und seine Praxis 
PapyRossa Verlag Köln, 2020 

ISBN 978-3-89438-729-7, 

148 S., 12,90 € 


(tw) Das Bundesamt für Verfassungs- 
schutz - das BfV, der innerdeutsche na- 
tionale Geheimdienst - ist in vieler Hin- 
sicht schon lange nicht mehr geheim, 
aber er agiert weiterhin im Geheimen. 
Daher ist es dringend nötig sich immer 
wieder mit diesem Dienst in unserer de- 
mokratischen und freiheitlichen Gesell- 
schaft auseinanderzusetzen. Das tut der 
kleine, leicht zulesende und hoch infor- 
mative Sammelband, in dem teils promi- 
nente Kritiker des institutionalisierten 
bzw. so genannten Verfassungsschutzes 
zu Wort kommen: Neben den beiden He- 
rausgebern, die für die Vereinigung der 
Verfolgten des Naziregimes - Bund der 
Antifaschisten (VVN-BdA) und die Hu- 
manistische Union (HU) sprechen, Rolf 
Gössner, Antonia von der Behrens, Luca 
Heyer, Klaus Stein, Niklas Schrader, Till 


Müller-Heidelberg, Udo Kauß und Mar- 
tina Renner. Einige der Autoren sind 
selbst Ausgespähte der Dienste. 

Inden Einzelbeiträgen wird dargelegt, 
was der Begriff „Verfassungsschutz” 
verschleiert und beschönigt, wie er ge- 
gen Extremisten vorgeht und dabei auf 
dem rechten Auge eher blind und auf 
dem linken Auge dafür hoch aktiv - und 
damit antidemokratisch - vorgeht, wie 
dort V-Leute geführt werden und welche 
Rolle die Ämter in der Berufsverbote- 
praxis hatten. Die verschleiernde Tätig- 
keit in Schulen wird beschrieben sowie 
die unsägliche Praxis Organisationen 
aus der Gemeinnützigkeit zu kegeln. 
Schließlich wird dargelegt, vor welche 
Probleme und Unmöglichkeiten die 
gerichtliche und die parlamentarische 
Kontrolle gestellt ist. 

Das Taschenbuch ist parteiisch. Das 
will es auch sein. Daher geht es ihm 
auch nicht darum eine umfassende 
Darstellung des BfV und seiner kleinen 
Geschwister - Länderämter und Militäri- 
scher Abschirmdienste - vorzunehmen. 
Es plädiert - teils explizit, teils impli- 
zit - für die Abschaffung dieser Diens- 
te und suggeriert, dass sie nicht refor- 
mierbar seien. Es gibt Gründe das anders 
zu sehen, so etwa die jüngste Recht- 
sprechung des Bundesverfassungsge- 
richts (DANA 2/2022, 127 £.), versuchte 
neue Ansätze, etwa beim Landesamt in 
Bremen oder in Thüringen, oder eine 
verstärkte Beobachtung von Rechtsra- 
dikalen. Thomas Haldenwang ist nicht 
Hans-Georg Maaßen. Was in dem Büch- 
lein auch nicht thematisiert wird, ist 
die Frage, ob „der Verfassungsschutz” 
in bestimmten Bereich jetzt schon oder 
künftig eine wichtige Funktion erfüllen 
kann, etwa bei der Bekämpfung des Is- 
lamismus oder des Terrorismus. 

Der rot-grün-gelbe Koalitionsvertrag 
weist nicht darauf hin, dass absehbar 
eine Abschaffung der Verfassungs- 
schutzämter ansteht (DANA 1/2022, 
23). Insofern sind aber Reformen umso 
dringlicher, mit denen die Befugnisse 
eingehegt, die Kontrolle verbessert und 
die demokratische Transparenz erhöht 
werden. Und hierfür ist die vorliegende 
faktenreiche Sammlung eine wichtige 
Erinnerung und zugleich Bestandsauf- 
nahme - um keinen Illusionen aufzu- 
sitzen und um Defizite zu erkennen und 
anzugehen. 
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NOMOSKOMMENTAR 


Hamachher | Krings | Otto Img] 


Glücksspiel- 
recht 


Hamacher, Andreas/Krings, Günter/ 
Otto, Sven-Joachim 

Glücksspielrecht - Handkommentar 
Nomos Verlagsgesellschaft Baden- 
Baden, 2022, 

716 S., 138,00 €, ISBN 978-3-8487- 
7934-5 


(tw) Es mag überraschen in einer 
Datenschutzzeitschrift eine Buchbe- 
sprechung zum Glücksspielrecht zu 
finden. Dass beides etwas miteinander 
zu tun hat, erschließt sich nicht auf 
den ersten Blick. Datenschutz ist oft 
ein Glücksspiel... Aber darum geht es 
hier erst in zweiter Linie, wobei diese 
Aussage gerade für den Datenschutz 
beim Glücksspiel gilt. Zunächst geht 
es in dem Kommentar um den neuen 
Glücksspiel-Staatsvertrag, der bun- 
desweit einheitliche Regelungen auch 
zum Online-Glücksspiel enthält. Darin 
ist vorgesehen, dass Online-Glückspie- 
ler sich persönlich registrieren lassen 
müssen, dass sie während ihres Spiels 
umfassend überwacht werden, so dass 
sie keine parallelen Spiele durchfüh- 
ren können, dass Höchsteinsätze gel- 
ten und deren Einhaltung überwacht 
wird. Süchtige Spieler können digital 
gesperrt werden. Das alles hat zu einer 
nur unter wenigen Fachleuten geführ- 
ten Diskussion geführt, ob das nicht ein 
Zuviel an Überwachung ist. Das Anlie- 
gen dieser Regelungen ist zweifellos zu 
begrüßen: Es geht um die Bekämpfung 
der Spielsucht, um die Verhinderung 
glücksspielbedingter Totalverschul- 
dung, um Jugendschutz. Es geht um 
die Verhinderung illegalen Glücksspiels 
und der damit zusammenhängenden 
Finanztransaktionen. Doch kritische 
Juristen - einschließlich der Konferenz 
der Datenschutzaufsichtsbehörden in 


210 


Deutschland - sind sich einig, dass die 
gefundenen Regelungen nicht mehr 
als verhältnismäßig angesehen werden 
können, dass ein berechtigtes Ziel bei 
der Internetnutzung mit einem Über- 
maß an Überwachung zu erreichen ver- 
sucht wird. Das „Länderübergreifende 
Glücksspielaufsichtssystem” (LUGAS) 
würde wohl, wenn es verfassungs- oder 
europarechtlich angegriffen würde, der 
Rechtskontrolle nicht standhalten. 

Dieses Muster ist weit verbreitet: 
So versuchen die Regierungen in der 
Europäischen Union (EU) Internet- 
Kriminalität mit verfassungswidriger 
Telekommunikations-Vorratsdatenspei- 
cherung zu bekämpfen, was immer wie- 
der höchstgerichtlich zurückgewiesen 
wird. Derzeit versucht die EU-Kommis- 
sion Kinderpornografie im Netz durch 
eine umfassende Chat-Kontrolle einzu- 
dämmen. Während über diese Bestre- 
bungen intensiv Öffentlich diskutiert 
wird, gibt es eine solche Diskussion über 
Online-Glücksspiel nicht, obwohl auch 
hier ein Berufungsfall geschaffen wur- 
de, den sicher viele Regulatoren gerne 
ausweiten würden. 

Glücksspiel hat also etwas mit Daten- 
schutz zu tun. Das Interesse von Daten- 
schützern für den Handkommentar zum 
neu geschaffenen Recht ist also gut be- 
gründbar. Beim Studium des Werks tritt 
dann aber Ernüchterung ein: Dort ist 
die Diskussion (noch?) nicht angekom- 
men. Das Werk ist juristisch gediegen 
und gibt einen Überblick über sämtli- 
che Rechtsbereiche des Glücksspiels; 
es kommentiert nicht nur den neuen 
Glücksspiel-Staatsvertrag, sondern 
auch weitere einschlägige Regelungen 
in der Gewerbeordnung, in der Spiel- 
verordnung, im Telemediengesetz, im 
Strafgesetzbuch, im Jugendschutzge- 
setz, im Rennwett- und Lotteriegesetz, 
ja sogar im Baugesetzbuch. Länder- 
spezifische Umsetzungsgesetzgebung 
wird am Beispiel Nordrhein-Westfalen 
dargestellt. Doch bleibt die Darstellung 
deskriptiv; eine kritische Auseinander- 
setzung mit dem bestehenden Recht 
ist leider nicht zu erkennen, selbst 
dort, wo sich die erörterten verfas- 
sungs- und europarechtlichen Grund- 
lagen hierzu geradezu aufdrängen. So 
ist der Handkommentar zwar ein sehr 
geeignetes Nachschlagewerk, wenn es 
um Absichten der Gesetzgeber und um 


Entwicklungen dieses Rechtsgebietes 
geht. Zugleich lässt sich an den vielen 
Autorinnen und Autoren erkennen, 
welche Anwaltsgroßkanzleien sich hier 
empfehlen wollen. Doch die Konflikte, 
die sich in der Praxis ergeben können, 
und Positionsbestimmungen hierzu 
sind nicht zu finden. Selbst eine Bewer- 
tung der noch im Aufbau befindlichen 
zentralisierten staatlichen Aufsicht im 
Landesverwaltungsamt Sachsen-Anhalt 
wird vermisst. Insofern ist das Werk zum 
Nachschlagen der Regelungen und der 
dahinterstehenden Intentionen in sei- 
ner Aktualität und Umfassendheit fast 
unverzichtbar. Das kritische Hinterfra- 
gen muss man dann aber selbstständig 
und mit anderen Quellen vornehmen. 


Die Kl- 
Entscheidung 


Sven Krüger 

Die KI-Entscheidung - Künstliche 
Intelligenz und was wir daraus machen 
Springer Fachmedien Wiesbaden GmbH, 
2021, 29,99 €, ISBN 978-3-658-34873-1 


(ha) Das 619 Seiten umfassende Werk 
von Sven Krüger ist in neun Kapitel un- 
terteilt, die von der allgemeinen Be- 
schreibung („Der Hype, die Medien und 
die Angst”) über die Anfangsfrage, was 
Künstliche Intelligenz ist und was nicht, 
zu der Beschreibung von Chatbots bis 
zum Thema Verantwortung und zu einem 
Ausblick in die Zukunft führen. Den Ka- 
piteln ist jeweils eine Zusammenfassung 
vorangestellt und ein Abschnitt der pas- 
senden Literatur angehängt. Dem Autor 
liegt laut Autorenprofil als Berater, Coach 
und Konzernmanager für Marketing und 
Digitalisierung die „Vermittlung von Wis- 
sen und Fähigkeiten rund um das Thema 
der digitalen Kompetenz” am Herzen. 

Schon auf den ersten Seiten fällt die 
Marketing-Orientierung der gesamten 
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Darstellung ins Auge. Auch in der Fol- 
ge wird Kritik zwar durch zahlreiche 
Zitate aus Studien und Ausarbeitun- 
gen angerissen, aber nicht als Grund- 
einstellung des Autors erkennbar. So 
berichtet Krüger beispielsweise völlig 
euphorisch über Entwicklungen in 
China: „Kaum anderswo ist sichtbar, 
was möglich ist, wenn sich eine Grup- 
pe von Menschen konsequent auf ein 
Thema ausrichtet.” In diesem Zusam- 
menhang erwähnt er auch, dass dort 
„Grundrechte, soweit vorhanden, ma- 
nipuliert” werden, doch das hindert 
ihn dann nicht ein Loblied auf schnelle 
Entwicklung marktfähiger Produkte 
anzustimmen. Nur nebenbei wird im 
Zusammenhang mit dem chinesischen 
Digital Mindset dann erwähnt, dass „KI 
auf dieser Ebene Raketen steuern, Be- 
wegungen von Bürgern über Kameras 
verfolgen, Internetzensur erleichtern 
und Verbrechen vorhersagen” soll. 

Da diese umfangreiche Betrachtung 
des Buchs als eBook vorlag, war ein 
Durchsuchen nach Stichworten mög- 
lich. Dabei stellte sich heraus, dass der 
Datenschutz schon früh (allerdings eher 
nebenbei) erwähnt wird. Die Verschlüs- 
selung von Daten findet erst im Zusam- 
menhang mit einem Google-Projekt 
Erwähnung: „... zwei neuronalen Netz- 
werken beigebracht haben, wie sie un- 
tereinander gesendete Nachrichten ver- 
schlüsseln können“. Der Autor hält diese 
Verschlüsselung für sinnvoll, denn „es 
gibt viele Informationen, die schützens- 
wert sind. Das können industrielle Daten 
zu Produktionsprozessen sein oder auch 
einfach Adress- oder Kreditkartendaten 
einer Online-Bestellung.” Auch hier wird 
wieder die vorrangige Orientierung auf 
die Interessen der Wirtschaft deutlich. 

Bei seinem - vom Rezensenten als wild 
wahrgenommenen - Durchmarsch durch 
viele unterschiedliche Anwendungsge- 
biete von KI stellt der Autor zwar häufi- 
ger fest, dass der Datenschutz einerseits 
eingehalten werden müsse, aber ande- 
rerseits auch gemäß des Privatsphäre- 
Paradoxons von den meisten Menschen 
„als lästig empfunden” werde. Irgend- 
wann aber wertet er die nach der DSGVO 
geforderte Aufklärung durch Informati- 
onstexte ab, indem er konstatiert: „Die 
meisten sind vernünftig genug nicht ihre 
kostbare, unwiederbringliche Lebenszeit 
mit so etwas [dem Lesen] zu verschwen- 
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den“. Undin einem anderen Kapitel sieht 
er sich sogar veranlasst das „Berufsbild 
des Datenschutzbeauftragten” als „in 
puncto Beliebtheit vergleichbar mit Drü- 
ckerkolonnen für Rundfunkgebühren” 
zu bezeichnen. Vielleicht möchte der 
Autor mit solchen Formulierungen eines 
seiner im Vorwort ankündigten Ziele er- 
reichen: Das Buch „soll zum Denken an- 


Cartoon 


ICH HABE NEULICH GELESEN, DASS 
TROTZ ANONYMISIERUNG NUR VIER 
KARTENZAHLUNGEN ERFORDERLICH 

SIND, UM EINE PERSONEN- 

IDENTIFIZIERUNG ZU ERMÖGLICHEN. 


regen“. Das tut es sicherlich, wenn auch 
nicht unbedingt im intendierten Sinn. 

Insgesamt liegt eine sehr umfang- 
reiche Sammlung vieler verschiedener 
KI-Einsatzszenarien vor, die aber allzu 
oft eine Orientierung auf die Interessen 
von Datenschutzinteressierten vermis- 
sen lässt. 


DA KANN ICH DIR NUR DIE 
VERWENDUNG VON BARGELD 


EMPFEHLEN. 


© 2022 Frans Valenta 
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Ein deutscher 
Innenminister *) setzt sich 
nach 1982 ernsthaft für 
Datenschutz und 
andere Grundrechte ein. 


Friedrich 
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Rudolf 
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Otto 
Schily 
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1993-1993 


CCBY-SA 3.0 


Thomas 

de Maiziere 
2009-2011 
2013-2018 


CC BY-SA 3.0 


Horst 
Seehofer 


2018-2021 
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*) Dieser Witz ist bereits vollständig gegendert. 
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